lundi, 4 mars 2024

Près de 4 000 organisations toujours vulnérables à Log4Shell

C’est selon les chiffres de Veracode. De nombreuses entreprises ne se sont toujours pas occupées de la vulnérabilité Log4j dans leurs applications, qui est en fait connue depuis 2 ans, malgré les appels réguliers pour la réparer et l’accessibilité des options.

Les vulnérabilités sont actives généralement en raison au fait que les applications utilisent une variante datée et non corrigée de Log4j. Il s’agit des variantes 1.1 à 3.0.0-alpha1.

Les variantes Log4j 2.0-beta9 à 2.15.0 sont particulièrement vulnérables, car elles sont directement sensibles à la célèbre vulnérabilité Log4Shell ou CVE-2021-44228. Elle présente le score de vulnérabilité optimal et a été découverte en décembre 2021. Au moment de sa découverte, cette vulnérabilité Zero Day était actuellement extrêmement fréquemment exploitée par des pirates informatiques.

De nombreuses versions sensibles sont utilisées

Veracode a découvert que les entreprises n’avaient toujours pas résolu ces versions extrêmement sensibles deux ans plus tard. Environ 2,8 % de toutes les applications interrogées utilisent les variantes Log4j 2.0-beta9 à 2.15.0.

De plus, 3,8 % utilisent toujours la variante Log4j 2.17.0, qui est vulnérable à une autre vulnérabilité grave. De plus, 32 % des applications interrogées utilisent toujours la version 1.2.x de Log4j, dont le support a été interrompu depuis août 2015. Pour ces versions les plus récentes, plusieurs vulnérabilités importantes ont été découvertes en 2015.

Patch les procédures prennent beaucoup de temps

Ce qui est peut-être beaucoup plus inquiétant, conclut encore plus Veracode, c’est que très souvent, dans 79 % des cas interrogés, les concepteurs ne mettent pas à niveau les bibliothèques tierces lorsqu’ils les insèrent dans leur code. Cela est dû au fait qu’ils souhaitent éviter que la fonctionnalité ne cause des problèmes.

De plus, 50 % des projets d’avancement prennent environ 65 jours avant que les problèmes de sécurité présentant des vulnérabilités élevées ne soient résolus. Il faut également 13,7 fois plus de temps et plus de 7 mois pour résoudre environ la moitié des problèmes en retard dus à l’absence de personnel.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici