關於震撼整個IT界的Log4j漏洞,在12月24日,我們根據開放原始碼軟體資安業者Sonatype的數據,指出臺灣是全球下載有漏洞Log4j版本比例最高的地區,一度高達85.06%,截至12月30日為止,臺灣仍是下載Log4j 2.15以前版本比例最高的地區,但已降為79.44%,顯示有降溫的現象。

為了從其他角度瞭解臺灣企業相關問題的嚴重性,我們洽詢另一家開放原始碼軟體資安廠商WhiteSource代理商叡揚資訊,是否有相關的情報可公開讓大家參考。而由於該公司也代理多款程式碼安全檢測軟體,本身也兼具獨立軟體開發商等多重身分,雖然無法全然代表整個臺灣軟體產業與資安產品所面臨的狀況,但他們如果已經能歸納出一些現象,也顯示相關問題已達到非常嚴重的地步,因為這只是冰山一角。

這次Log4j漏洞影響的版本涵蓋1.x與2.x,2001年1月8日發布的1.0版,若追溯到最初於1999年開始發展這個專案,至今已超過20年,後續的1.2版則從2002年開始,一路發展到2012年發布的1.2.17版,而2.0版則是2014年7月釋出。

關於每個公司或單位使用這些有漏洞版本的數量,叡揚針對多個產業的用戶進行調查。整體而言,因為Java是各大企業必用的重要程式語言之一,因此,叡揚的用戶絕大部分都使用了Log4j,金融業、科技與製造業、電信業都是100%,政府機構與財團法人則是95%,而沒有使用的用戶,主要是因為他們採用的程式語言是.NET或非Java的語言。

根據他們在12月10日到17日的初步統計,使用Log4j 1.2.x 版本的用戶超過97%,這些用戶中,有超過六成是Log4j 1.x and 2.x均使用。

以金融業(包括銀行、證券、保險等)而言,有多達50%的公司使用了10個以上有漏洞版本,使用1到3個有漏洞版本為24%,使用4到6個有漏洞版本與使用7到9個有漏洞版本的比例,均為13%。

而在政府與法人,以及科技與製造等產業,均有86%的公司使用1到3個有漏洞版本,而使用7到9個有漏洞版本的公司比例為14%。

這樣的結果顯示,對臺灣企業而言,Log4j是很重要的軟體元件。而它之所以成為許多開發人員的最愛,不只是因為它是免費開源的套件,功能相當好用,使用方式也很便利。

但為何同一個公司會需要同時使用多個版本的Log4j?叡揚資訊資安事業處資安開發部經理李佳凌表示,這突顯了開發人員過往所留下的技術債問題並未解決,因為公司現行的系統有新舊之別,會因當時使用的軟體開發框架版本不同,而導致搭配的Log4j的版本也出現不一致的狀況。

而這類單一系統卻面臨軟體元件多個版本並存於企業內部IT的問題,有可能是因為開發人員「疊代」的問題。例如,資淺的開發人員不敢輕易刪除舊套件,以致於,這些元件就一直使用、保留至今。

另一種情況是系統經過多家委外廠商維護,而廠商因成本考量,通常不會積極處理版本更新或是框架更新問題,因為一旦進行這些工程,後續衍生的開發與測試成本也會很高,所以,許多人認為最便捷的方式是加入新版本套件,並且就「新功能使用新套件方式」的方式開發。長久下來,企業的系統就會出現多個版本的狀況。

而身為軟體資安檢測服務商,叡揚資訊在Log4j事發第一時間就發布資安通報給現有客戶,相較於2017年面臨重大的Strust 2資安漏洞危機,該公司客戶的開發單位、資安單位、主管階層,都建立了應對方式,但實際作法與這次Log4j漏洞的處理方式不同。

李佳凌說,在2017年,使用工具來進行掃描盤點的用戶屈指可數,因此,當時都使用人工盤點,採用信任制度執行,耗時耗力。而現在,許多用戶已普遍採用工具來輔助這些作業,因此,當弱點發布的第一時間,不需再重新掃描,相關人員就能收到相關的電子郵件通知,掌握受Log4j影響的系統數量。

除了掌握用戶本身使用有漏洞Log4j版本的狀況,在資安新聞媒體的持續報導之下,我們也想知道臺灣企業向IT廠商尋求協助時,他們會提出哪些問題。

以叡揚資訊而言,依照是否導入相關資安工具的狀況,區分成三種類型的諮詢。以未導入者而言,他們關切的資訊在於是否有工具可盤點、緩解方式、如何升級至Log4j 2(漏洞已修補版本)。已導入這類工具者,若是為期3年以內的用戶,想知道公司現行系統使用這些高風險版本的數量、修復弱點的方式,以及弱點影響的範圍;若是導入長達3年以上,則關注修復弱點的方式、緩解的辦法,以及弱點影響的範圍。

 

熱門新聞

Advertisement