Una vulnerabilità zero-day che colpisce la versione 2.0< = 2.14.1 del pacchetto Apache Log4j 2 è stato divulgato al pubblico il 9 dicembre. (Si prega di fare riferimento al CVE per maggiori dettagli.)
Apache ha rilasciato una nuova versione di Log4j per correggere la vulnerabilità. Le versioni di questa libreria precedenti alla 2.15.0 sono vulnerabili a un attacco di esecuzione di codice remoto. Per maggiori dettagli sulla vulnerabilità, fare riferimento al CVE.
Abbiamo studiato la nostra piattaforma Cloud SaaS e confermato l’utilizzo delle librerie log4j interessate sia nel nostro codice che nei servizi dipendenti. Possiamo affermare che la vulnerabilità non era sfruttabile in base a diverse mitigazioni già presenti nell’ambiente.
In meno di 6 ore dopo essere venuti a conoscenza di questa vulnerabilità, abbiamo incorporato la libreria corretta nel nostro codice (programmato per essere rilasciato) e abbiamo applicato in tempo reale le mitigazioni da Mitre.org
Abbiamo anche modificato le regole di rilevamento per il nostro WAF e monitoriamo costantemente i modelli di abuso.
Sabato mattina abbiamo rilasciato le correzioni per la nostra versione on-premise di OneDesk e abbiamo iniziato a contattare i nostri clienti on-premise fornendo passaggi su misura per mitigare nei propri ambienti.