Apache Log4jリモートコード実行CVE-2021-44228

背景

2021年12月9日、新たに発見された重大なゼロデイの認証なしリモートコード実行（RCE）の脆弱性（CVE-2021-44228、CVE-2021-4104）が、オープンソースのJavaロギングライブラリApache Log4jで報告されました。 Log4jは多くの一般的なフレームワークに組み込まれているため、影響は広範囲に及びます。 悪用するのが簡単で、攻撃者は影響を受けるサーバーを完全に制御できるようになります。

ステートメント

WalkMeは脆弱性を認識しており、この問題がWalkMeの製品やサービスに直接影響しないという検証を終えています。

WalkMeは現在、社内およびクライアントの情報技術環境に対する、Log4jインシデントの考えられる間接的な影響を判断するための包括的な調査を実施しています。 これには、下請け業者の潜在的なLog4j関連のリスクまたは脆弱性の調査が含まれます。

適用される影響を受けたすべての社内サービスについては、log4j2ライブラリのパッチ適用を行い、パッチ適用されたサービスを本番にデプロイしました。

顧客のクライアント環境で実行されているサービス：

WalkMeによって管理・ホストされているサービス：

Apache Log4jに依存するアプリケーションとサービスの特定に取り組んでいます。 これらのアプリケーションは、最近のLog4jセキュリティの問題から生じるリスクの検出と緩和を改善するために、必要に応じて見直しおよびアップグレードされています。

これらのサービスとホストの徹底的なスキャンを実行しています。 具体的には、CVE-2021-44228の悪用は、ログメッセージとパラメータの特定のパターン（例：${jndi:(ldap[s]?|rmi|dns):/[^n]+）に依存します。 影響を受ける可能性のある各サービスについて、ログの分析を実行し、悪用の試みを明らかにします。

影響

これまでのところ、当社の製品が悪用に対して脆弱であるとは考えておらず、サプライチェーン全体のベンダーと緊密に連携して、ベンダーも調査と緩和策を完了していることを確認しています。

必要なアクション

WalkMe SaaSとWalkMeセルフホストの実装の場合、顧客側のアクションは必要ありません。

WalkMeは当局から伝達された推奨事項を認識しており、引き続きコミュニケーションを監視し、重大な推奨事項がWalkMeのオペレーションのコンポーネントに影響を及ぼすかどうかを確認していきます。

一般的に、WalkMeは、Log4j2 2.0から2.15を含む独自の非WalkMe関連環境を管理するすべての顧客に対して、Log4j-2.16.0以降に更新し、適用される場合はサプライチェーンベンダーに連絡してパッチを適用することを強く推奨しています。

更新：2021年12月17日

以前の声明に従い、WalkMeが脆弱性CVE-2021-45046の影響を受けないことを確認しました。 CVE-2021-45046のCVSSスコアは3.7と低いですが、これは呼び出すことができる条件の影響によるものです。

WalkMe SaaSとWalkMeセルフホストの実装の場合、顧客側のアクションは必要ありません。

追加情報が入り次第、WalkMeは引き続き更新を行います。 その他の詳細やサポートについては、WalkMeサポートにお問い合わせください。