Estudo divulgado na última semana mostra que apenas 21% das organizações na América Latina conseguiram corrigir totalmente as vulnerabilidades causadas pela pela falha de segurança na biblioteca de software Log4j. Os dados apurados pela empresa de gerenciamento de exposição Tenable destacam os desafios de remediação de vulnerabilidades herdadas, que são a causa raiz da maioria das violações de dados.
Conhecida como Log4Shell, a vulnerabilidade crítica do Log4j ainda afeta 72% das organizações, globalmente.
Quando a vulnerabilidade foi descoberta em 2021, organizações de todo o mundo se esforçaram para determinar seu risco. Nas semanas seguintes à sua divulgação, foram realocados recursos significativos e investimentos de dezenas de milhares de horas em esforços de identificação e correção. Um departamento do gabinete federal dos Estados Unidos informou que sua equipe de segurança dedicou 33.000 horas apenas para entender a resposta à vulnerabilidade do Log4j.
No entanto, a telemetria da Tenable descobriu que um em cada 10 ativos era vulnerável ao Log4Shell em dezembro de 2021, incluindo uma ampla variedade de servidores, aplicativos da Web, contêineres e dispositivos IoT (internet das coisas). Os dados de outubro de 2022 mostraram melhorias, com 2,5% dos ativos vulneráveis. Porém, quase um terço (29%) desses ativos tiveram recorrências do Log4Shell após a correção completa.
“É muito difícil conseguir uma correção completa para uma vulnerabilidade tão difundida, e é importante ter em mente que a correção de vulnerabilidade não é um processo ‘único e pronto”‘, disse Bob Huber, diretor de segurança da Tenable. “Embora uma organização possa ter sido totalmente corrigida em algum momento, ao adicionar novos ativos a seus ambientes, é provável que ela encontre o Log4Shell repetidamente. A erradicação do Log4Shell é uma batalha contínua que exige que as organizações avaliem continuamente seus ambientes em busca da falha, bem como de outras vulnerabilidades conhecidas.”
Outras descobertas importantes dos dados incluem:
• 28% das organizações em todo o mundo corrigiram totalmente o Log4Shell desde 1º de outubro de 2022, uma melhoria de 14 pontos em relação a maio de 2022.
• 53% das organizações estavam vulneráveis ao Log4j durante o período do estudo, o que ressalta a natureza abrangente do Log4j e os esforços contínuos necessários para remediar, mesmo que a remediação completa tenha sido alcançada anteriormente.
• Em outubro de 2022, 29% dos ativos vulneráveis viram a reintrodução do Log4Shell após a correção completa ter sido alcançada.
• Alguns setores estão em melhor forma do que outros, com engenharia (45%), serviços jurídicos (38%), serviços financeiros (35%), organizações sem fins lucrativos (33%) e governo (30%) liderando o grupo com mais organizações totalmente corrigidas. Aproximadamente 28% das organizações de infraestrutura crítica definidas pela CISAforam totalmente remediadas.
• Quase um terço das organizações norte-americanas corrigiu totalmente o Log4j (28%), seguido pela Europa, Oriente Médio e África (27%), Ásia-Pacífico (25%) e América Latina (21%).
• Da mesma forma, a América do Norte é a principal região com a porcentagem de organizações que corrigiram parcialmente (90%), Europa, Oriente Médio e África (85%), Ásia-Pacífico (85%) e América Latina (81%).
