همچنان بیش از 30% برنامه ها از نسخه آسیب پذیر کتابخانه Log4J استفاده می کنند.

تقریبا 38% از برنامه ها از نسخه آسیب پذیر کتابخانه Apache Log4J استفاده می کنند، که باعث بروز مشکلات امنیتی متعددی مثل Log4Shell که یک آسیب پذیری حیاتی با شماره CVE-2021-44228 است، می شود. آسیب پذیری مذکور یک حفره امنیتی اجرای کد از راه دور بوده که به مهاجم امکان داشتن کنترل کامل روی سیستم های دارای نسخه Log4j 2.0  beta9 تا 2.15.0 را میدهد.
آسیب پذیری مذکور به عنوان یک آسیب پذیری Zero-day در دسامبر 2021 شناسایی شد و با تاثیر گسترده، سهولت بهره برداری و پیامدهای امنیتی خود، نقطه خوبی برای مهاجمان محسوب می شود.
پیرو این شرایط، اطلاع رسانی های گسترده ای بابت نصب وصله های مربوط به این آسیب پذیری انجام شد اما همچنان با گذشت دو سال از افشا شدن این آسیب پذیری و انتشار وصله آن، اهداف زیادی هنوز در برابر Log4Shell آسیب پذیرند. طی گزارشی از شرکت Veracode براساس اطلاعات جمع آوری شده بین 15 آگوست تا 15 نوامبر مشخص شده است که مشکلات قدیمی ممکن است برای دوره های زمانی بلندمدت ادامه داشته باشند.
علی رغم هشدارهای متعدد به مدیران سیستم همچنان تعداد قابل توجهی از سازمانها و مراکز در حال استفاده از نسخه های آسیب پذیر هستند.

سطح حمله

این شرکت امنیتی طی 90 روز اطلاعات را از 3866 سازمان مختلف که از 38278 اپلیکیشن متکی بر Log4j ورژن 1.1 تا 3.0.0 جمع آوری نموده است. 2.8 درصد از این اپلیکیشن ها از نسخه های 2.0-beta9 استفاده می کنند که مستقیما نسبت به log4Shell آسیب پذیر هستند. 3.8درصد از این اپلیکیشن ها از Log4j 2.17.0 استفاده می کنند که دارای آسیب پذیری CVE-2021-44832 است.
در نهایت 32درصد از این اپلیکیشن ها از نسخه 1.2.x استفاده می کنند که آگوست 2015 از رده خارج شده است و آسیب پذیری های متعددی از جمله CVE-2022-23307، CVE-2022-23305 و CVE-2022-23302 را دارد. در مجموع 38درصد از اپلیکیشن های قابل مشاهده از نسخه های ناامن Log4j استفاده می کنند.