13/12/2021 Avviso di sicurezza - Apache Log4j (CVE-2021-44228)

Lo scopo del presente avviso di sicurezza è fornire ai clienti un aggiornamento sull’impatto della vulnerabilità di Apache Log4j sui servizi Zendesk (CVE-2021-44228). Alcuni media hanno chiamato questa vulnerabilità Log4Shell.

Aggiornamento dello stato al 23 dicembre 2021: Zendesk ha ridotto le istanze note di questa vulnerabilità nel nostro ambiente di prodotto.

In cosa consiste questa vulnerabilità?

È stata rilevata una vulnerabilità di tipo Remote Code Execution (RCE) nella nota libreria di log Java, Log4j. Questa vulnerabilità di sicurezza diffusa in tutto il settore consente a un utente non autenticato di eseguire un codice sui sistemi su cui è implementata questa libreria caricando contenuti appositamente predisposti. Si tratta di una vulnerabilità critica che interessa molti prodotti software e servizi online.

In che modo Zendesk è interessata da questa vulnerabilità?

Zendesk utilizza Apache Log4j nei suoi prodotti. Questa vulnerabilità è emersa giovedì 9 dicembre 2021. Ne abbiamo limitato le istanze note e stiamo continuando a monitorare attivamente la situazione.

Abbiamo avviato il nostro processo di risposta agli incidenti e abbiamo analizzato immediatamente l'uso di Log4j nei prodotti Zendesk. Questo è il risultato:

Abbiamo identificato e valutato tutte le distribuzioni di Log4j in tutti i nostri prodotti e abbiamo implementato l'aggiornamento del fornitore o le mitigazioni consigliate sui nostri sistemi.
Abbiamo collaborato (e continueremo a farlo, man mano che verranno alla luce nuove informazioni) con i nostri subincaricati e i nostri principali fornitori per assicurarci che risolvano le vulnerabilità che interessano gli ambienti di cui potremmo servirci.

Abbiamo inoltre mitigato questa vulnerabilità implementando regole volte a impedire lo sfruttamento dannoso. Tuttavia, siamo consapevoli che queste regole non sono efficaci al 100% e rappresentano solo un livello di mitigazione secondario.

L’indagine sull'uso di Log4j nel nostro prodotto è completa e i team addetti alla sicurezza continuano a monitorare i problemi di sicurezza correlati a Log4j nell’ambito del regolare monitoraggio della sicurezza e dell’implementazione della gestione delle patch.

Zendesk ha analizzato CVE-2021-45046 e CVE-2021-45105?

In risposta a questa vulnerabilità, abbiamo analizzato anche CVE-2021-45046 e CVE-2021-45105 in Log4j. Abbiamo valutato il rischio e siamo intervenuti nei casi in cui quest’ultimo risultava elevato. CVE-2021-45105 è una vulnerabilità di tipo Denial of Service che non influisce sulla maggior parte delle configurazioni.

Quali azioni devo intraprendere?

Gli utenti dei servizi Zendesk non devono intraprendere alcuna azione al momento.
Gli utenti di prodotti personalizzati sviluppati nell’ambito di un contratto di prestazione professionale sono in genere responsabili dei propri aggiornamenti di sicurezza ma, ove opportuno, devono rivedere il contratto e convalidare l'uso del componente Log4j.

Consigliamo inoltre ai clienti di valutare l’uso della libreria di log Apache Log4j insieme ai nostri prodotti all’interno di qualsiasi app personalizzata o integrazione sviluppata o implementata dall'utente.

Se viene identificata una versione vulnerabile, raccomandiamo vivamente di passare alla versione corretta fornita da Apache Software Foundation o di implementare una mitigazione consigliata dal fornitore.

Dove posso trovare ulteriori informazioni?

Ulteriori informazioni su questa vulnerabilità sono disponibili qui:

Apache Software Foundation: Vulnerabilità di sicurezza in Apache Log4j
National Vulnerability Database: CVE-2021-44228