最近，Veracode的安全研究人员 发现 ，大约 38% 使用Apache Log4j库的应用程序运行的版本容易受到多个安全漏洞的影响，包括关键的Log4Shell ( CVE-2021-44228 ) 最高严重性（CVSS 10 分）。尽管补丁已推出两年多，但许多组织仍在使用易受攻击的版本。

Log4Shell 是一个远程代码执行 (RCE)漏洞，允许完全控制从 Log4j 2.0-beta9 到 2.15.0 的系统。该问题于 2021 年 12 月 10 日作为一个被积极利用的零日漏洞被发现。其广泛的影响、易于利用和严重的安全隐患引起了攻击者越来越多的兴趣。

尽管发出了大量警告并开展了积极的宣传活动，但即使在补丁发布后，仍有大量组织继续使用易受攻击的版本。

Veracode 研究人员分析 8 月 15 日至 11 月 15 日的数据发现，约 38% 的应用程序仍然使用不安全版本的 Log4j。该研究覆盖了 3,866 个组织，拥有 38,278 个依赖 Log4j 版本 1.1 至 3.0.0-alpha1 的应用程序。

其中，2.8% 使用 Log4J 变体 2.0-beta9 至 2.15.0，这些变体直接受到 Log4Shell 的攻击。另外 3.8% 使用 Log4j 2.17.0，虽然不受 Log4Shell 影响，但容易受到 CVE-2021-44832 的影响。然而，32% 使用 Log4j 1.2.x，该版本于 2015 年 8 月终止支持，并且容易受到 2022 年之前发布的多个严重漏洞的影响。

此外，研究发现，尽管 65% 的开源更新包含微小的更改和修复，但 79% 的开发人员在将第三方库最初包含在代码中后从未更新，以避免破坏功能。

Veracode 指出，Log4Shell 并未给安全行业的许多人敲响警钟。在大约三分之一的情况下，Log4j 仍然是风险来源，并且可能是攻击者危害目标的多种方式之一。

建议所有使用 Log4j 或类似库的公司扫描其环境，识别他们正在使用的开源库的版本，然后制定计划“轻松”将所有库升级到安全版本。