Cet avis de sécurité fournit aux clients une mise à jour sur la façon dont les services Zendesk sont affectés par la vulnérabilité Apache Log4j (CVE-2021-44228). Certains médias appellent également cette vulnérabilité Log4Shell.

Mise à jour du statut le 23 décembre 2021 : Zendesk a corrigé les instances connues de cette vulnérabilité dans notre environnement de produits.

Quelle est cette vulnérabilité ?

Une vulnérabilité d’exécution de code à distance (RCE) a été découverte dans la bibliothèque de journalisation Java Log4j. Cette vulnérabilité de sécurité qui affecte l’ensemble du secteur permet à un utilisateur malveillant non authentifié d’exécuter du code sur les systèmes sur lesquels cette bibliothèque est déployée, en fournissant du contenu spécialement conçu. Il s’agit d’une vulnérabilité grave qui affecte de nombreux produits logiciels et services en ligne.

Comment cette vulnérabilité affecte-t-elle Zendesk ?

Zendesk utilise Apache Log4j dans ses produits. Cette vulnérabilité a été révélée le jeudi 9 décembre 2021.  Nous avons corrigé les instances connues de cette vulnérabilité et continuons de surveiller ce problème activement.

Nous avons donc activé notre processus de réponse aux incidents et étudié immédiatement l’utilisation de Log4j dans l’ensemble des produits Zendesk. En conséquence :

• Nous avons identifié et trié tous les déploiements Log4j dans tous nos produits et mis en œuvre la mise à jour du fournisseur ou les mesures d’atténuation recommandées pour nos systèmes.
• Nous avons répondu à l’incident et, au fur et à mesure que de nouvelles informations arriveront, nous continuerons de travailler avec nos sous-traitants et nos fournisseurs critiques pour nous assurer qu’ils remédient à toutes les vulnérabilités de leurs environnements que nous pouvons utiliser.

Nous avons aussi atténué cette vulnérabilité en déployant des règles pour bloquer l’exploitation malveillante. Cependant, nous reconnaissons que ces règles ne sont pas efficaces à 100 % et qu’elles ne sont qu’un niveau secondaire d’atténuation.

À ce stade, notre enquête sur l’utilisation de Log4j dans notre produit est terminée et nos équipes de sécurité continuent de suivre les problèmes de sécurité impliquant Log4j dans le cadre de la mise en œuvre de la surveillance de la sécurité et de la gestion des correctifs.

 

Zendesk a-t-il enquêté sur les vulnérabilités CVE-2021-45046 et CVE-2021-45105 ?

Dans le cadre de notre réponse à cette vulnérabilité, nous avons aussi enquêté sur les vulnérabilités CVE-2021-45046 et CVE-2021-45105 dans Log4j. Nous avons effectué une évaluation des risques et pris des mesures lorsque les risques étaient importants. Il est à noter que CVE-2021-45105 est une vulnérabilité de déni de service qui n’affecte pas la plupart des configurations.

Quelles actions dois-je entreprendre ?

• Les utilisateurs des services Zendesk n’ont rien à faire pour le moment.
• Les utilisateurs de produits personnalisés développés dans le cadre d’accords de services professionnels sont généralement responsables de leurs propres mises à jour de sécurité, mais doivent vérifier leur accord le cas échéant et valider leur utilisation du composant Log4j.

Nous conseillons aussi vivement à nos clients d’évaluer leur propre utilisation de la bibliothèque de journalisation Apache Log4j avec nos produits dans les applications ou intégrations personnalisées que vous pouvez avoir développées ou déployées. 

Si l’utilisation d’une version vulnérable est identifiée, nous vous conseillons vivement d’effectuer une mise à niveau vers la version corrigée fournie par Apache Software Foundation ou de mettre en œuvre une mesure d’atténuation recommandée par le fournisseur.

 

Où puis-je trouver des informations supplémentaires ?

Vous trouverez des informations supplémentaires au sujet de cette vulnérabilité ici :

• Apache Software Foundation : Apache Log4j Security Vulnerabilities (Vulnérabilités de sécurité dans Apache Log4j)
• National Vulnerability Database : CVE-2021-44228