在 Log4Shell 高危漏洞事件披露幾乎整整一年之後，新的資料顯示，對全球大多陣列織來說，補救工作是一個漫長、緩慢、痛苦的過程。
 

根據漏洞掃描領先者 Tenable 公司的遙測資料來看，截至今年10月，超過70%被掃描的企業仍然受到 Log4shell 漏洞（CVE-2021-44228）的影響，這可能會導致企業持續面臨資料洩露的風險。Tenable 稱，他們收集了超過5億次測試的資料，發現有高達72%的企業仍在努力補救去年12月的 Log4j 漏洞。“當2021年12月，Log4shell漏洞被發現時，世界各地的組織爭相確定其風險。在其披露後的幾周內，各個組織將資源集中於研究此漏洞，並投入數萬小時來進行識別和修復，”Tenable 說，一個聯邦機構報告稱，其安全團隊僅在Log4j漏洞響應方面就投入了33,000小時。
 

Tenable 遙測發現，截止2021年12月，每10個企業資產中就有1個易受 Log4shell 漏洞攻擊。這些暴露的資產包括各類伺服器、網路應用程式、容器和物聯網裝置。到2022年10月的資料則有所改善，只有2.5%的資產易受影響，但值得警惕的是，在這些資產中有近三分之一（29%）的資產在進行全面修復之後，依舊再次受到 Log4shell的影響。“對於如此廣泛存在的漏洞，全面修復是難以實現的，並且需要記住漏洞修復並非一勞永逸的過程。”Tenable 首席安全官 Bob Huber說。
 

Huber 解釋說，雖然企業可能已經完全修復了這個漏洞，但隨著新的資產（如電腦、伺服器、儲存裝置、容器、雲實例等）進入企業環境中，他們仍有可能再次遇到 Log4shell 的問題。掃描資料顯示，全球已完全修復該問題的企業或組織的數量增加了14個百分點

“超過一半的組織在研究期間容易受到 Log4j 的攻擊，這突顯了 Log4j 的普遍性以及持續修復的必要性，即便之前已經實現了完全修復。”Tenable 說，“截至2022年10月，29%曾感染漏洞的資產在實現全面修復後再次重新引入了 Log4Shell。”
 

在經歷了此次事件之後，美國政府呼籲業界採用相關工具和程式來管理數字化資產和漏洞，記錄漏洞應對方案、優化 SBOM 工具，並增加對開源軟體安全的投入。
 

參考連結：
https://www.securityweek.com/one-year-later-log4shell-remediation-slow-painful-slog