Este aviso de seguridad proporciona a los clientes una actualización sobre cómo los servicios de Zendesk se ven afectados por la vulnerabilidad Apache Log4j (CVE-2021-44228). Algunos medios se han referido a esta vulnerabilidad como Log4Shell.

Actualización de estado del 23 de diciembre de 2021: Zendesk ha mitigado los casos conocidos de esta vulnerabilidad en el entorno de nuestros productos.

¿Cuál es esta vulnerabilidad?

Se descubrió una vulnerabilidad de ejecución remota de código (RCE) en la popular biblioteca de registro de Java, Log4j. Esta vulnerabilidad de seguridad en todo el sector permite que un usuario no autenticado ejecute código en los sistemas que tienen desplegada esta biblioteca, proporcionando contenido diseñado y específico. Se trata de una vulnerabilidad grave que afecta a muchos productos de software y servicios en línea.

¿Cómo afecta esta vulnerabilidad a Zendesk?

Zendesk utiliza Apache Log4j en sus productos. Esta vulnerabilidad fue revelada el jueves 9 de diciembre de 2021.  Hemos mitigado las instancias conocidas de esta vulnerabilidad y seguimos monitoreando activamente este problema.

En respuesta, activamos nuestro proceso de respuesta a incidentes e investigamos de inmediato el uso de Log4j en todos los productos de Zendesk. Como resultado:

• Identificamos y clasificamos todas las implementaciones de Log4j en todos nuestros productos, e implementamos la actualización proporcionada por el proveedor o las mitigaciones recomendadas en nuestros sistemas.
• Hemos trabajado y, a medida que surja nueva información, seguiremos trabajando con nuestros subprocesadores y proveedores críticos para asegurarnos de que remedien las vulnerabilidades de los entornos que afectan nuestro trabajo.

También hemos mitigado esta vulnerabilidad mediante la implementación de reglas para bloquear la explotación malintencionada. Sin embargo, reconocemos que estas reglas no son 100% efectivas y son solo un nivel secundario de mitigación.

En este punto, la investigación del uso de Log4j en nuestro producto ha finalizado, y nuestros equipos de seguridad continúan haciendo el seguimiento de los problemas de seguridad que involucran a Log4j como parte de nuestra implementación regular de monitoreo de seguridad y administración de parches.

 

¿Ha investigado Zendesk las vulnerabilidades CVE-2021-45046 y CVE-2021-45105?

Como parte de nuestra respuesta a esta vulnerabilidad, también investigamos CVE-2021-45046 y CVE-2021-45105 en Log4j. Realizamos una evaluación de riesgos y tomamos las medidas necesarias cuando exponían un riesgo significativo. Cabe destacar que CVE-2021-45105 es solo una vulnerabilidad de denegación de servicio que no afecta a la mayoría de las configuraciones.

¿Qué acciones debo realizar?

• Los usuarios de los servicios de Zendesk no tienen que realizar ninguna acción en este momento.
• Los usuarios de productos personalizados desarrollados bajo contratos de servicios profesionales suelen ser responsables de sus propias actualizaciones de seguridad, pero deben revisar su contrato según corresponda y validar el uso del componente Log4j.

También recomendamos encarecidamente que los clientes evalúen su propio uso de la biblioteca de registros de Apache log4j junto con nuestros productos en cualquier aplicación o integración personalizada que haya desarrollado o desplegado. 

Si se identifica el uso de una versión vulnerable, recomendamos encarecidamente actualizar a la versión fija proporcionada por Apache Software Foundation, o implementar una mitigación recomendada por el proveedor.

 

¿Dónde puedo encontrar más información?

Se puede encontrar información adicional sobre esta vulnerabilidad aquí:

• Apache Software Foundation: Vulnerabilidades de seguridad de Apache Log4j
• Base de datos nacional sobre vulnerabilidades: CVE-2021-44228