Diese Sicherheitsempfehlung enthält eine Aktualisierung der Auswirkungen auf die Dienste von Zendesk durch die Schwachstelle „Apache Log4j" (Cve-2021-44228). Diese Schwachstelle wird von manchen Anbietern als Log4Shell bezeichnet.

Statusaktualisierung am 23. Dezember 2021: Zendesk hat bekannte Instanzen dieser Sicherheitsanfälligkeit in unserer Produktumgebung reduziert.

Was ist diese Schwachstelle?

In der populären Java-Protokollierungsbibliothek Log4j wurde eine Sicherheitsanfälligkeit durch Remote Code Execution (RCE) entdeckt. Diese branchenweite Sicherheitsschwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Code auf Systemen auszuführen, auf denen diese Bibliothek implementiert ist, indem bestimmte präparierte Inhalte bereitgestellt werden. Es handelt sich um eine schwerwiegende Sicherheitsanfälligkeit, die viele Softwareprodukte und Onlinedienste betrifft.

Wie wirkt sich diese Sicherheitsanfälligkeit auf Zendesk aus?

Zendesk verwendet in seinen Produkten den Dienst „Apache Log4j". Diese Sicherheitsanfälligkeit wurde am Donnerstag, dem 9. Dezember 2021, bekannt.  Wir haben bekannte Instanzen dieser Sicherheitsanfälligkeit gemildert und überwachen dieses Problem weiterhin.

Daher haben wir unseren Incident Response-Prozess aktiviert und sofort die Nutzung von Log4j in Zendesk-Produkten untersucht. Das Ergebnis war Folgendes:

• Wir identifizierten und triagierten alle Log4j-Bereitstellungen in allen unseren Produkten und implementierten die vom Anbieter bereitgestellten Updates bzw. empfohlenen Minderungsschritte in unseren Systemen.
• Wir haben gearbeitet und werden weiter mit unseren Unterauftragsverarbeitern und Lieferanten zusammenarbeiten, sobald neue Informationen hinzukommen, um sicherzustellen, dass sie in ihren Umgebungen alle Schwachstellen beheben, auf denen wir uns befinden.

Außerdem haben wir diese Schwachstelle durch die Einführung von Regeln entschärft, die eine böswillige Ausnutzung verhindern. Wir sind uns jedoch bewusst, dass diese Regeln nicht zu 100 % effektiv sind und lediglich eine sekundäre Stufe der Schadensbegrenzung darstellen.

Damit ist die Untersuchung der Verwendung von Log4j in unserem Produkt abgeschlossen, und unsere Sicherheitsteams verfolgen im Rahmen unserer regelmäßigen Sicherheitsüberwachung und Implementierung des Patch-Managements weiterhin Sicherheitsprobleme im Zusammenhang mit Log4j.

 

Hat Zendesk die Fälle Cve-2021-45046 und Cve-2021-45105 untersucht?

Als Teil unserer Reaktion auf diese Sicherheitsanfälligkeit haben wir außerdem die Zertifikate CVE-2021-45046 und Cve-2021-45105 in Log4j untersucht. Wir führten eine Risikobewertung durch und ergriffen Maßnahmen, wenn ein erhebliches Risiko auftrat. Es ist anzumerken, dass es sich bei Cve-2021-45105 nur um eine Denial-of-Service-Schwachstelle handelt, die die meisten Konfigurationen nicht betrifft.

Welche Maßnahmen sollte ich ergreifen?

• Benutzer von Zendesk-Diensten müssen gegenwärtig keine Maßnahmen ergreifen.
• Benutzer von angepassten Produkten, die im Rahmen von Professional-Services-Vereinbarungen entwickelt wurden, sind in der Regel für ihre eigenen Sicherheitsaktualisierungen verantwortlich, sollten aber gegebenenfalls ihre Vereinbarung überprüfen und die Nutzung der Log4j-Komponente validieren.

Wir empfehlen unseren Kunden außerdem nachdrücklich, die eigene Nutzung der log4j-Protokollierungsbibliothek von Apache in Verbindung mit unseren Produkten in von Ihnen entwickelten oder bereitgestellten angepassten Apps oder Integrationen zu prüfen. 

Wenn festgestellt wird, dass eine anfällige Version verwendet wird, empfehlen wir nachdrücklich , auf die von der Apache Software Foundation bereitgestellte Version umzusteigen oder eine vom Anbieter empfohlene Risikobegrenzung zu implementieren.

 

Wo erhalte ich weitere Informationen?

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie hier:

• Apache Software Foundation: Sicherheitsschwachstellen in Apache Log4j
• Nationale Schwachstellendatenbank: CVE-2021-44228