Een zero-day kwetsbaarheid die invloed heeft op versie 2.0< = 2.14.1 van het Apache Log4j 2-pakket werd op 9 december openbaar gemaakt. (Raadpleeg de CVE voor meer details.)
Apache heeft een nieuwe Log4j-versie uitgebracht om de kwetsbaarheid te verhelpen. Eerdere versies van deze bibliotheek dan 2.15.0 zijn kwetsbaar voor een aanval op het uitvoeren van externe code. Raadpleeg de CVE voor meer informatie over de kwetsbaarheid.
We hebben ons Cloud SaaS-platform onderzocht en het gebruik van getroffen log4j-bibliotheken bevestigd, zowel in onze eigen code als in afhankelijke services. We kunnen bevestigen dat de kwetsbaarheid niet kon worden misbruikt op basis van verschillende oplossingen die al in de omgeving aanwezig waren.
In minder dan 6 uur nadat we ons bewust werden van deze kwetsbaarheid, hebben we de vaste bibliotheek opgenomen in onze eigen code (gepland om te worden vrijgegeven) en hebben we de mitigaties van Mitre.org live toegepast
Ook hebben we de detectieregels voor onze WAF aangepast en monitoren we constant op patronen van misbruik.
Zaterdagochtend hadden we fixes vrijgegeven voor onze On-Premise-versie van OneDesk en begonnen we onze On-Premise-klanten te bereiken met op maat gemaakte stappen om in hun eigen omgevingen te verminderen.