Una vulnerabilidad de día cero que afecta a la versión 2.0< = 2.14.1 del paquete Apache Log4j 2 se reveló al público el 9 de diciembre. (Consulte el CVE para obtener más detalles).
Apache lanzó una nueva versión de Log4j para corregir la vulnerabilidad. Las versiones de esta biblioteca anteriores a la 2.15.0 son vulnerables a un ataque de ejecución de código remoto. Para obtener más detalles sobre la vulnerabilidad, consulte el CVE.
Investigamos nuestra plataforma Cloud SaaS y confirmamos el uso de las bibliotecas log4j afectadas tanto en nuestro propio código como en los servicios dependientes. Podemos afirmar que la vulnerabilidad no fue explotable en base a diferentes mitigaciones ya presentes en el entorno.
En menos de 6 horas después de que nos dimos cuenta de esta vulnerabilidad, incorporamos la biblioteca fija en nuestro propio código (programado para ser lanzado) y hemos aplicado en vivo las mitigaciones de Mitre.org
También hemos ajustado las reglas de detección para nuestro WAF y estamos monitoreando constantemente los patrones de abuso.
El sábado por la mañana habíamos publicado correcciones para nuestra versión On-Premise de OneDesk y comenzamos a llegar a nuestros clientes On-Premise proporcionando pasos personalizados para mitigar en sus propios entornos.