Ejecución remota de código Apache Log4j CVE-2021-44228
Fondo
El 9 de diciembre de 2021, se informó de una vulnerabilidad crítica recientemente descubierta de ejecución remota de código (RCE) sin autenticación de día cero (CVE-2021-44228, CVE-2021-4104) en la biblioteca de registro de Java de código abierto Apache Log4j. Log4j se incorpora a muchos marcos populares, lo que hace que el impacto sea generalizado. Es fácil de explotar y permite a los atacantes obtener un control total de los servidores afectados.
Declaración
WalkMe es consciente de la vulnerabilidad y ha completado la verificación de que este problema no afecta directamente a los productos o servicios de WalkMe.
WalkMe está realizando actualmente una evaluación completa para determinar el posible impacto indirecto del incidente de Log4j en los entornos de tecnología de la información internos y del cliente. Este esfuerzo incluye necesariamente la investigación de cualquier riesgo o vulnerabilidad potencial relacionado con Log4j de nuestros subcontratistas.
Para todos nuestros servicios internos afectados, hemos parcheado la biblioteca log4j2 y hemos implementado los servicios parcheados en producción.
Servicios que se ejecutan en el entorno cliente del cliente:
| Productos de WalkMe | Estado | Descripción |
| WalkMe Player | No afectado | Aplicación JS del lado del cliente. No se utiliza Log4j directa o indirectamente. |
| WalkMe Editor | No afectado | Electron basado en Chromium. Aplicación de JavaScript del lado del cliente. No se utiliza Log4j directa o indirectamente. |
| WalkMe Desktop | Sin impacto. | Aplicación C# y Java del lado del cliente. No se utiliza Log4j directa o indirectamente. |
| Extensión de WalkMe | No afectado | Las extensiones del navegador WalkMe son aplicaciones JS. No se utiliza Log4j directa o indirectamente. |
| WalkMe Mobile SDK | No afectado | WalkMe Mobile SDK para Android e iOS no utiliza Log4j. |
Servicios que son administrados y alojados por WalkMe:
| Productos de WalkMe | Estado | Descripción |
| WalkMe Insights | No es vulnerable | No hay uso vulnerable directo de Log4j. |
| WalkMe Mobile | No es vulnerable | La versión de Log4j utilizada no es vulnerable. |
| WalkMe Platform | No es vulnerable | No hay uso vulnerable directo de Log4j. |
Estamos trabajando para identificar las aplicaciones y servicios que dependen de Apache Log4j. Estas aplicaciones se están revisando y actualizando si es necesario, para mejorar la detección y mitigación de los riesgos que surgen del reciente problema de seguridad Log4j.
Estamos realizando un análisis exhaustivo de estos servicios y hosts. Específicamente, el exploit para CVE-2021-44228 se basa en patrones particulares en los mensajes y parámetros de registro, por ejemplo ${jndi:(ldap[s]?|rmi|dns):/[^n]+. Para cada servicio potencialmente afectado, realizamos un análisis de registro para exponer cualquier intento de explotación.
Impacto
Hasta ahora, no creemos que nuestros productos sean vulnerables a la explotación, y estamos trabajando en estrecha colaboración con los proveedores de nuestra cadena de suministro para garantizar que completen las investigaciones y la mitigación.
Acción requerida
Para las implementaciones SaaS de WalkMe y WalkMe Autogestionadas, no se requiere ninguna acción del cliente.
WalkMe es consciente de las recomendaciones comunicadas por las autoridades y continúa supervisando las comunicaciones y evaluando si las recomendaciones críticas afectan a algún componente de las operaciones de WalkMe.
En general, WalkMe recomienda encarecidamente a todos los clientes que administran sus propios entornos no relacionados con WalkMe que contienen Log4j2 2.0 a 2.15 que actualicen a Log4j-2.16.0 o posterior y se pongan en contacto con sus proveedores de la cadena de suministro para garantizar la aplicación de parches cuando sea aplicable.
Actualización: 17 de diciembre de 2021.
Siguiendo nuestra declaración anterior, confirmamos que WalkMe no se ve afectado por la vulnerabilidad CVE-2021-45046. CVE-2021-45046 tiene una puntuación CVSS más baja de 3,7 debido al impacto de la condición que se puede invocar.
Para las implementaciones SaaS de WalkMe y WalkMe Autogestionadas, no se requiere ninguna acción del cliente.
WalkMe continuará actualizándose a medida que haya información adicional disponible. Para cualquier información adicional o asistencia, por favor contacte con el soporte de WalkMe.