Une vulnérabilité zero-day impactant la version 2.0< = 2.14.1 du package Apache Log4j 2 a été rendu public le 9 décembre. (Veuillez vous référer au CVE pour plus de détails.)
Apache a publié une nouvelle version de Log4j pour corriger la vulnérabilité. Les versions de cette bibliothèque antérieures à 2.15.0 sont vulnérables à une attaque d’exécution de code à distance. Pour plus de détails sur la vulnérabilité, veuillez vous référer au CVE.
Nous avons étudié notre plate-forme Cloud SaaS et confirmé l’utilisation des bibliothèques log4j concernées à la fois dans notre propre code et dans les services dépendants. Nous pouvons affirmer que la vulnérabilité n’était pas exploitable sur la base des différentes mesures d’atténuation déjà présentes dans l’environnement.
Moins de 6 heures après avoir pris connaissance de cette vulnérabilité, nous avons incorporé la bibliothèque fixe dans notre propre code (dont la publication est prévue) et nous avons appliqué en direct les atténuations de Mitre.org
Nous avons également ajusté les règles de détection de notre WAF et nous surveillons en permanence les schémas d’abus.
Le samedi matin, nous avions publié des correctifs pour notre version sur site de OneDesk et avons commencé à contacter nos clients sur site en leur fournissant des étapes sur mesure pour atténuer dans leurs propres environnements.