11月24日,阿里巴巴云安全团队的安全研究员陈昭君向Apache软件基金会发出警告,称一款被广泛使用的日志软件log4j 2存在一个关键漏洞。该漏洞于12月9日公开,随后基金会发布了补丁。
然而,网络犯罪分子很快就利用了这一漏洞,并加强了对可能易受攻击、可能被用来实施勒索软件攻击的应用程序和服务器的识别。
根据网络安全公司Check Point Software的数据,攻击者已经尝试利用41%的印度机构的log4j 2漏洞。
然而,Log4 Shell只是今年报告的众多软件漏洞之一。黑客一号本月发布的一份报告显示,2021年检测到66547个软件漏洞。这比前一年增加了21%。
“软件漏洞是一种可能被威胁行为者利用来实施网络攻击的漏洞或错误。我们遇到这么多软件漏洞的原因之一是,与10年前相比,今天生产的应用程序数量太多了,”Check Point software的网络安全倡导者阿什温•拉姆(Ashwin Ram)表示。应用程序开发的增加意味着攻击面的增加,因为每个具有漏洞的应用程序都是潜在的目标。
网络安全公司Barracuda的高级产品营销经理Tushar Richabadas警告说:“大多数现代软件都存在多个零日漏洞。”
安全专家认为,人们越来越重视在没有经过适当审查的情况下从第三方库中借用代码,而不是从头编写代码,这是导致该问题的主要危险信号之一。
“DevOps已经改变了。几年前,开发人员编写80%的代码,而20%的代码是从库中借来的。现在正好相反。开发人员几乎不做任何编码,软件开发都是关于这些预先准备好的代码库,”网络安全公司帕洛阿尔托网络印度和SAARC主管Huzefa Motiwala说。
Motiwala认为开发者应该采用左移的方法,并在开发周期的每个阶段嵌入安全性,特别是在他们借用代码的时候。
他说得有道理。大流行之后,对第三方代码库的依赖急剧上升,尤其是在印度等新兴市场,印度正面临包括程序员在内的技术专业人员的严重短缺。
一个很好的例子就是CodeCanyon,这是一个这样的图书馆,在疫情迫使印度的企业建立在线业务之后,该图书馆去年从印度获得的收入同比增长了184%。
可以肯定的是,这并不意味着所有第三方代码库都有脆弱的代码。然而,Ram警告说,威胁行动者经常使用开源代码作为进入应用程序的后门的传递机制。他补充说:“这就是为什么‘永不信任,总是验证’的零信任心态也必须扩展到软件开发中。”
这也与如今应用程序的开发、发布和更新速度比几年前快得多的事实有关。疫情后,企业面临着将产品推向市场的巨大压力。Ram说:“企业也希望应用程序能够快速发布,或许是为了利用更快上市时间的竞争优势。这反过来又会进一步推动那些不成熟的申请的发表。”
