Een derde van alle Log4j-instances is ruim vier maanden na de ontdekking van de zeer kritieke kwetsbaarheid nog steeds ongepatcht.
Uit onderzoek van Qualys blijkt dat ongeveer 30 procent van alle applicaties, servers en andere systemen die Log4j gebruiken nog steeds kwetsbaar zijn. De systemen zijn nog niet gepatcht en kunnen door hackers op afstand worden overgenomen.
Voor het onderzoek werd het Qualys Cloud Platform gebruikt, om te scannen op de aanwezigheid van Log4j in systemen van organisaties. Hierdoor kon de securityspecialist vaststellen welke organisaties patches doorgevoerd hebben.
Gemiddelde patchduur
Ook blijkt dat het gemiddeld 17 dagen duurt tot een patch voor Log4j werd doorgevoerd. Systemen, servers en applicaties die risico liepen van buiten te worden aangevallen, zijn vaak sneller gepatcht. In dat geval duurt het gemiddeld 12 dagen. Vooral webapplicaties zijn vaak sneller aangepast. In totaal troffen de experts van Qualys meer dan 28.000 webapplicaties aan die Log4J gebruiken.
Veel ‘end-of-life’-applicaties
Verder blijkt uit het onderzoek dat meer dan tachtig procent van de kwetsbare applicaties met Log4j open source is. Bovendien zit meer dan de helft van deze applicaties in de ‘end-of-support’-fase zit, welke waarschijnlijk niet meer gepatcht worden.
Tip: Log4Shell: wat is Log4j, wie raakt het en hoe patch je het?
59 minuten geleden
