Apache Log4j Remote Code Execution CVE-2021-44228
Hintergrund
Am 9. Dezember 2021 wurde eine neu entdeckte, kritische Schwachstelle in der Zero-Day-Umgebung mit nicht authentifizierter Remotecodeausführung (RCE) (CVE-2021-44228, CVE-2021-4104) in der Open-Source-Java-Protokollierungsbibliothek Apache Log4j gemeldet. Log4j ist in viele geläufige Frameworks integriert, was zur Verbreitung der Auswirkungen beigetragen hat. Es lässt sich leicht ausnutzen und ermöglicht Angreifern, die volle Kontrolle über betroffene Server zu erlangen.
Erklärung
WalkMe ist sich dieser Schwachstelle bewusst und hat die Überprüfung abgeschlossen, dass dieses Problem keine direkten Auswirkungen auf WalkMe-Produkte oder Dienste hat.
WalkMe führt derzeit eine umfassende Bewertung durch, um die potenziellen indirekten Auswirkungen des Log4j-Vorfalls auf interne und Client-IT-Umgebungen zu bestimmen. Dieses Vorgehen beinhaltet notwendigerweise die Untersuchung aller potenziellen mit Log4j verbundenen Risiken oder Schwachstellen unserer Auftragnehmer.
Für alle unsere betroffenen internen Dienste haben wir die log4j2-Bibliothek gepatcht und die gepatchten Dienste in der Produktion bereitgestellt.
Dienste, die in der Client-Umgebung des Kunden ausgeführt werden:
| WalkMe-Produkte | Status | Beschreibung |
| WalkMe Player | Nicht betroffen | Client-seitige JS-App. Kein Log4j direkt/indirekt verwendet. |
| WalkMe Editor | Nicht betroffen | Chrombasiertes Elektron. Client-seitige JS-App. Kein Log4j direkt/indirekt verwendet. |
| WalkMe Desktop | Nicht betroffen | Client-seitige C#- und Java-App. Kein Log4j direkt/indirekt verwendet. |
| WalkMe Extension | Nicht betroffen | WalkMe-Browsererweiterungen sind JS-Apps. Kein Log4j direkt/indirekt verwendet. |
| WalkMe Mobile SDK | Nicht betroffen | WalkMe Mobile SDK für Android und iOS verwendet kein Log4j. |
Dienste, die von WalkMe verwaltet und gehostet werden:
| WalkMe-Produkte | Status | Beschreibung |
| WalkMe Insights | Nicht anfällig | Keine direkte anfällige Nutzung von Log4j. |
| WalkMe Mobile | Nicht anfällig | Die verwendete Log4j-Version ist nicht anfällig. |
| WalkMe-Plattform | Nicht anfällig | Keine direkte anfällige Nutzung von Log4j. |
Wir arbeiten an der Identifizierung von Anwendungen und Diensten, die auf Apache Log4j angewiesen sind. Diese Anwendungen werden bei Bedarf überprüft und aktualisiert, um die Erkennung und Minderung von Risiken aus dem jüngsten Log4j-Sicherheitsproblem zu verbessern.
Wir führen einen gründlichen Scan dieser Dienste und Hosts durch. Insbesondere der Exploit für CVE-2021-44228 beruht auf bestimmten Mustern in Protokollnachrichten und Parametern, z. B. ${jndi:(ldap[s]?|rmi|dns):/[^n]+. Für jeden potenziell betroffenen Dienst führen wir eine Protokollanalyse durch, um Exploit-Versuche aufzudecken.
Auswirkung
Bisher sind wir der Auffassung, dass keines unserer Produkte ausgenutzt werden konnte. Wir arbeiten eng mit Anbietern in der gesamten Lieferkette zusammen, um sicherzustellen, dass auch sie Untersuchungen und Behebungsmaßnahmen abschließen.
Erforderliche Maßnahmen
Für WalkMe SaaS und WalkMe selbst gehostete Implementierungen ist keine Kundenaktion erforderlich.
WalkMe kennt die von Behörden mitgeteilten Empfehlungen und überwacht weiterhin die Kommunikation und bewertet, ob kritische Empfehlungen auf Betriebskomponenten von WalkMe zutreffen.
Generell rät WalkMe allen Kunden, die ihre eigenen nicht-WalkMe-bezogenen Umgebungen mit Log4j2 2.0 bis 2.15 verwalten, nachdrücklich, auf Log4j-2.16.0 oder höher zu aktualisieren und ihre Lieferketten-Anbieter zu kontaktieren, um gegebenenfalls Patches anzufordern.
Update: 17. Dezember 2021
Im Anschluss an unsere vorherige Erklärung bestätigen wir, dass WalkMe von der Schwachstelle CVE-2021-45046 nicht betroffen ist. CVE-2021-45046 erzielt aufgrund der Auswirkungen der aufrufbaren Bedingung einen niedrigeren CVSS-Score von 3,7.
Für WalkMe SaaS und WalkMe selbst gehostete Implementierungen ist keine Kundenaktion erforderlich.
WalkMe wird weiterhin aktualisiert, sobald zusätzliche Informationen verfügbar sind. Für weitere Informationen oder Unterstützung wenden Sie sich bitte an den WalkMe Support.