Exécution du code à distance CVE-2021-44228 avec Apache Log4j
background
Le 9 décembre 2021, une vulnérabilité critique d'exécution de code à distance non authentifiée zéro jour (RCE) (CVE-2021-44228, CVE-2021-4104) a été signalée dans la bibliothèque de journalisation Java Apache Log4j. Log4j est incorporé dans de nombreux frameworks populaires, ce qui rend l'impact répandu. Il est facile à exploiter et permet aux attaquants de maîtriser complètement les serveurs affectés.
Déclaration
WalkMe est au courant de la vulnérabilité et a terminé la vérification afin que ce problème n'affecte pas directement les produits ou services WalkMe.
WalkMe entreprend actuellement un examen complet pour déterminer l'impact indirect potentiel de l'incident Log4j sur les environnements de technologie de l'information internes et clients. Cet engagement comprend nécessairement l'enquête de tout risque ou vulnérabilité potentiels liés à Log4j de nos sous-traitants.
Nous avons patché la bibliothèque log4j2 et déployé les services patchés en production pour tous nos services internes impactés applicables.
Les services qui s'exécutent sur l'environnement client du client :
| Produits WalkMe | Statut | Description |
| WalkMe Player | Non affecté | Application JS côté client. Aucun Log4j utilisé directement/indirectement. |
| L'éditeur WalkMe | Non affecté | Electron basé sur Chromium. Application JS côté client. Aucun Log4j utilisé directement/indirectement. |
| WalkMe Desktop | Non affecté | Application C # et Java côté client. Aucun Log4j utilisé directement/indirectement. |
| WalkMe Extension | Non affecté | Les extensions de navigateur WalkMe sont des applications JS. Aucun Log4j utilisé directement/indirectement. |
| SDK WalkMe Mobile | Non affecté | Le SDK WalkMe Mobile pour Android et iOS n'utilise pas Log4j. |
Les services qui sont gérés et hébergés par WalkMe :
| Produits WalkMe | Statut | Description |
| WalkMe Insights | Non vulnérable | Aucune utilisation vulnérable directe de Log4j. |
| WalkMe Mobile | Non vulnérable | La version de Log4j utilisée n'est pas vulnérable. |
| Plateforme WalkMe | Non vulnérable | Aucune utilisation vulnérable directe de Log4j. |
Nous travaillons pour identifier les applications et les services dépendants d'Apache Log4j. Ces applications sont examinées et mises à niveau si nécessaire pour améliorer la détection et l'atténuation des risques découlant du récent problème de sécurité Log4j.
Nous effectuons un scan approfondi de ces services et hôtes. Plus précisément, l'exploit pour CVE-2021-44228 repose sur des modèles spécifiques dans les messages de log et les paramètres, par exemple ${jndi:(ldap[s]?|rmi|dns):/[^n]+. Nous effectuons une analyse de log pour exposer toutes les tentatives d'exploitation pour chaque service potentiellement affecté.
Impact
Jusqu'à présent, nous ne pensons pas que nos produits soient vulnérables à l'exploitation et travaillons en étroite collaboration avec les fournisseurs de notre chaîne d'approvisionnement pour nous assurer qu'ils terminent également les enquêtes et les mesures d'atténuation.
Action requise
Pour les implémentations WalkMe SaaS et WalkMe auto-hébergées, aucune action client n'est requise.
WalkMe est au courant des recommandations communiquées par les autorités et surveille les communications et la vérification si des recommandations critiques affectent des composants des opérations de WalkMe.
En général, WalkMe recommande fortement à tous les clients qui gèrent leurs propres environnements non liés à WalkMe comprenant Log4j2 2.0 à 2.15 de mettre à jour vers Log4j-2.16.0 ou une version ultérieure et de consulter leurs fournisseurs de la chaîne d'approvisionnement pour assurer les correctifs le cas échéant.
Mise à jour : 17 décembre 2021
Suite à notre déclaration précédente, nous affirmons que WalkMe n'est pas affecté par la vulnérabilité CVE-2021-45046. CVE-2021-45046 comporte un score CVSS inférieur de 3.7 en raison de l'impact de l'état qui peut être invoqué.
Pour les implémentations WalkMe SaaS et WalkMe auto-hébergées, aucune action client n'est requise.
WalkMe poursuivra sa mise à jour à mesure que des informations supplémentaires seront disponibles. Pour tout détail supplémentaire ou assistance, veuillez contacter le Centre d'Assistance de WalkMe.