2021-12-13 Security Advisory - Apache Log4j (CVE-2021-44228)

Este assessor de segurança fornece aos clientes uma atualização sobre como os serviços da Zendesk são afetados pela vulnerabilidade do Apache Log4j (Cve-2021-44228). Essa vulnerabilidade foi chamada de Log4Shell por alguns canais.

Atualização de status em 23 de dezembro de 2021: A Zendesk mitigou instâncias conhecidas dessa vulnerabilidade no ambiente de nossos produtos.

O que é essa vulnerabilidade?

Uma vulnerabilidade de execução remota de código (RCE) foi descoberta na biblioteca de registro de Java, Log4j. Essa vulnerabilidade de segurança de todo o setor permite que um usuário não autenticado execute código em sistemas que têm essa biblioteca implementada, fornecendo conteúdo criado especificamente. Essa é uma grande vulnerabilidade que afeta vários produtos de software e serviços online.

Como essa vulnerabilidade afeta a Zendesk?

A Zendesk utiliza Apache Log4j em seus produtos. Essa vulnerabilidade foi revelada na quinta-feira, 9 de dezembro de 2021. Nós atenuamos as instâncias conhecidas dessa vulnerabilidade e continuamos a monitorar ativamente esse problema.

Em resposta a isso, ativamos nosso processo de resposta a incidentes e investigamos imediatamente o uso do Log4j nos produtos Zendesk. Como resultado:

Identificamos e separamos todas as implementações do Log4j em todos os nossos produtos e implementamos a atualização fornecida pelo fornecedor ou as mitigações recomendadas para os nossos sistemas.
Trabalhamos e, à medida que surgem novas informações, continuaremos a trabalhar com nossos subprocessadores e fornecedores críticos para garantir que eles possam remediar quaisquer vulnerabilidades em seus ambientes utilizados.

Também mitigamos essa vulnerabilidade implementando regras para bloquear a operação mal-intencionada. No entanto, reconhecemos que essas regras não são 100% eficazes e que são apenas um nível secundário de mitigação.

Neste momento, nossa investigação do uso do Log4j no nosso produto terminou e nossas equipes de segurança estão continuando a investigar os problemas de segurança que envolvem o Log4j como parte de nosso monitoramento de segurança regular e implementação de gerenciamento de correções.

A Zendesk investigará a CVE-2021-45046 e a CVE-2021-45105?

Como parte de nossa resposta a essa vulnerabilidade, também examinamos a CVE-2021-45046 e a CVE-2021-45105 na Log4j. Nós realizamos uma avaliação de riscos e agimos onde eles expõem um risco significativo. É importante observar que a CVE-2021-45105 é uma vulnerabilidade de negação de serviço, que não afeta a maioria das configurações.

Quais ações devo tomar?

os usuários dos serviços da Zendesk não precisam agir no momento.
Os usuários de produtos personalizados desenvolvidos sob contratos de serviços profissionais normalmente são responsáveis por suas próprias atualizações de segurança, mas devem revisar seu contrato conforme apropriado e validar o uso do componente Log4j.

Também recomendamos que os clientes avaliem seu próprio uso da biblioteca de registro Log4j em conjunto com os nossos produtos em quaisquer aplicativos ou integrações personalizados que você tenha desenvolvido ou implementado.

Se o uso de uma versão vulnerável for identificado, recomendamos a atualização para a versão fixa, fornecida pela Privacy Software Foundation, ou a implementação de uma mitigação recomendada pelo fornecedor.

Onde posso encontrar mais informações?

Você pode encontrar informações adicionais sobre essa vulnerabilidade aqui:

Apache Software Foundation: Vulnerabilidades de segurança do Apache Log4j
Banco de dados de vulnerabilidade nacional: CVE-2021-44228