Uma vulnerabilidade de zero dias com impacto na versão 2.0 < = 2.14.1 do pacote Apache Log4j 2 foi divulgada ao público no dia 9 de dezembro. (Consulte o CVE para mais detalhes.)
A Apache lançou uma nova versão log4j para corrigir a vulnerabilidade. Versões desta biblioteca antes do 2.15.0 são vulneráveis a um ataque remoto de execução de código. Para mais detalhes sobre a vulnerabilidade, consulte o CVE.
Investigámos a nossa plataforma Cloud SaaS e confirmámos o uso das bibliotecas de log4j afetadas, tanto no nosso próprio código como em serviços dependentes. Podemos afirmar que a vulnerabilidade não era explorável com base em diferentes mitigações já presentes no ambiente.
Em menos de 6 horas após termos tomado conhecimento desta vulnerabilidade, incorporamos a biblioteca fixa no nosso próprio código (programado para ser lançado) e aplicámos ao vivo as mitigações de Mitre.org
Também ajustámos as regras de deteção para o nosso WAF e estamos constantemente a monitorizar padrões de abuso.
No sábado de manhã tínhamos lançado correções para a nossa versão On-Premise da OneDesk e começámos a contactar os nossos clientes on-in- que fornecem medidas personalizadas para mitigar nos seus próprios ambientes.