关于震撼整个IT界的Log4j漏洞,在12月24日,我们根据开放源码软件安全企业Sonatype的数据,指出台湾是全球下载有漏洞Log4j版本比例最高的地区,一度高达85.06%,截至12月30日为止,台湾仍是下载Log4j 2.15以前版本比例最高的地区,但已降为79.44%,显示有降温的现象。
为了从其他角度了解台湾企业相关问题的严重性,我们洽询另一家开放源码软件安全厂商WhiteSource代理商睿扬信息,是否有相关的情报可公开让大家参考。而由于该公司也代理多款程序代码安全检测软件,本身也兼具独立软件开发商等多重身份,虽然无法全然代表整个台湾软件产业与安全产品所面临的状况,但他们如果已经能归纳出一些现象,也显示相关问题已达到非常严重的地步,因为这只是冰山一角。
这次Log4j漏洞影响的版本涵盖1.x与2.x,2001年1月8日发布的1.0版,若追溯到最初于1999年开始发展这个项目,至今已超过20年,后续的1.2版则从2002年开始,一路发展到2012年发布的1.2.17版,而2.0版则是2014年7月发布。
关于每个公司或单位使用这些有漏洞版本的数量,睿扬针对多个产业的用户进行调查。整体而言,因为Java是各大企业必用的重要程序语言之一,因此,睿扬的用户绝大部分都使用了Log4j,金融业、科技与制造业、电信业都是100%,政府机构与财团法人则是95%,而没有使用的用户,主要是因为他们采用的程序语言是.NET或非Java的语言。
根据他们在12月10日到17日的初步统计,使用Log4j 1.2.x版本的用户超过97%,这些用户中,有超过六成是Log4j 1.x and 2.x均使用。
以金融业(包括银行、证券、保险等)而言,有多达50%的公司使用了10个以上有漏洞版本,使用1到3个有漏洞版本为24%,使用4到6个有漏洞版本与使用7到9个有漏洞版本的比例,均为13%。
而在政府与法人,以及科技与制造等产业,均有86%的公司使用1到3个有漏洞版本,而使用7到9个有漏洞版本的公司比例为14%。
这样的结果显示,对台湾企业而言,Log4j是很重要的软件组件。而它之所以成为许多开发人员的最爱,不只是因为它是免费开源的组件,功能相当好用,使用方式也很便利。
但为何同一个公司会需要同时使用多个版本的Log4j?睿扬信息安全业务处安全开发部经理李佳凌表示,这突显了开发人员以往所留下的技术债问题并未解决,因为公司现行的系统有新旧之别,会因当时使用的软件开发框架版本不同,而导致搭配的Log4j的版本也出现不一致的状况。
而这类单一系统却面临软件组件多个版本并存于企业内部IT的问题,有可能是因为开发人员“迭代”的问题。例如,资浅的开发人员不敢轻易删除旧组件,以致于,这些组件就一直使用、保留至今。
另一种情况是系统经过多家委外厂商维护,而厂商因成本考量,通常不会积极处理版本更新或是框架更新问题,因为一旦进行这些工程,后续衍生的开发与测试成本也会很高,所以,许多人认为最便捷的方式是加入新版本组件,并且就“新功能使用新组件方式”的方式开发。长久下来,企业的系统就会出现多个版本的状况。
而身为软件安全检测服务商,睿扬信息在Log4j事发第一时间就发布安全通报给现有客户,相较于2017年面临重大的Strust 2安全漏洞危机,该公司客户的开发单位、安全单位、主管阶层,都创建了应对方式,但实际做法与这次Log4j漏洞的处理方式不同。
李佳凌说,在2017年,使用工具来进行扫描盘点的用户屈指可数,因此,当时都使用人工盘点,采用信任制度执行,耗时耗力。而现在,许多用户已普遍采用工具来辅助这些作业,因此,当弱点发布的第一时间,不需再重新扫描,相关人员就能收到相关的电子邮件通知,掌握受Log4j影响的系统数量。
除了掌握用户本身使用有漏洞Log4j版本的状况,在安全新闻媒体的持续报道之下,我们也想知道台湾企业向IT厂商寻求协助时,他们会提出哪些问题。
以睿扬信息而言,依照是否导入相关安全工具的状况,区分成三种类型的咨询。以未导入者而言,他们关切的信息在于是否有工具可盘点、缓解决方案式、如何升级至Log4j 2(漏洞已修补版本)。已导入这类工具者,若是为期3年以内的用户,想知道公司现行系统使用这些高风险版本的数量、修复弱点的方式,以及弱点影响的范围;若是导入长达3年以上,则关注修复弱点的方式、缓解的办法,以及弱点影响的范围。