Nota: OPSWAT continua a atualizar esta publicação do blogue com informações adicionais à medida que estas ficam disponíveis
Atualização - Dec. 24, 2021 - 12:30 PM EST
À medida que continuamos a monitorizar as actualizações e os desenvolvimentos em torno do CVE-2021-44228, estamos cientes da recente orientação descrita no CVE 2021-45105, que indica que as versões 2.0-alpha1 a 2.16.0 do Apache Log4j2 (excluindo a 2.12.3) podem não proteger contra a recursão descontrolada de pesquisas auto-referenciais, o que pode resultar em negação de serviço.
Neste momento, não avaliamos que esta atualização altere quaisquer passos de mitigação atualmente publicados ou comunicados relativamente ao CVE 2021-44228.
Caso ocorram alterações ou a nossa avaliação mude, continuaremos a notificar através do blogue.
Se tiver outras questões ou preocupações, contacte-nos através de qualquer um dos nossos canais de apoio.
Atualização - Dec. 15, 2021 - 5 PM EST
À medida que continuamos a monitorizar as actualizações e os desenvolvimentos relacionados com o CVE-2021-44228, estamos cientes das recentes orientações descritas no CVE 2021-45046 que aborda a correção incompleta do Apache log4j 2.15.0 em determinadas configurações não predefinidas.
Neste momento, não avaliamos que isto altere quaisquer passos de mitigação atualmente publicados relativamente ao CVE 2021-44228.
Caso ocorram alterações ou a nossa avaliação mude, continuaremos a notificar através do blogue.
Se tiver outras questões ou preocupações, contacte-nos através de qualquer um dos nossos canais de apoio.
Atualização - 14 de dezembro de 2021 - 2 PM EST
OPSWAT completou uma análise completa de todos os produtos OPSWAT que poderiam ser afectados pela vulnerabilidade log4j e não identificou qualquer exposição que pudesse afetar a utilização segura de quaisquer produtos ou serviços OPSWAT .
As recomendações ou configurações de produtos foram comunicadas aos clientes MetaDefender Access Cloud, My OPSWAT e MetaDefender NAC e actualizadas neste blogue. Nenhuma recomendação ou configuração de produto é aplicável a qualquer um dos nossos outros produtos neste momento.
Se tiver outras questões ou preocupações, contacte-nos através de qualquer um dos nossos canais de apoio.
Atualização - 13 de dezembro de 2021 - 5 PM EST
Temos estado a analisar todas as tecnologias e pacotes do OPSWAT para determinar se algum deles é potencialmente vulnerável a esta exploração.
Descobrimos que My OPSWAT (OCM) utiliza a biblioteca Apache log4j como uma das suas dependências - mas é importante notar que OPSWAT não identificou qualquer exposição à vulnerabilidade log4j que possa afetar a utilização segura de quaisquer produtos ou serviços OPSWAT neste momento.
Recomendamos aos clientes que executamo OCM versão 7.16 ou anterior que actualizem para a versão 7.17 ou mais recente e apliquem uma alteração de configuração recomendada para mitigar esta exploração específica e outras que possam visar as capacidades log4j relacionadas com JNDI no futuro. As instruções de alteração da configuração de atenuação podem ser encontradas neste artigo da base de dados de conhecimento.
Se tiver alguma questão específica, abra um caso de assistência e informe-nos no nosso portal do cliente.
Caso ocorram alterações, alterações de avaliação, continuaremos a notificar por correio eletrónico e blogue.
Atualização - 13 de dezembro de 2021 - 12 PM EST
Desde a nossa atualização anterior em 12 de dezembro de 2021, relacionada com as acções que estamos a tomar relativamente à vulnerabilidade CVE-2021-44228, também conhecida como vulnerabilidade log4j, temos estado a analisar ativamente todas as tecnologias e pacotes OPSWAT para determinar se algum é potencialmente vulnerável a esta exploração.
Eis as acções que já tomámos para mitigar o risco da exploração do log4j:
- MetaDefender Access Cloud: Devido à vulnerabilidade de dia zero descoberta na biblioteca de registo Apache log4j que permite que os atacantes assumam o controlo de servidores vulneráveis (CVE-2021-44228), aplicámos, por precaução, uma alteração de configuração recomendada que reduzirá a possibilidade desta exploração específica e de outras que possam visar as capacidades Log4j relacionadas com JNDI no futuro. Não é necessária qualquer ação adicional por parte dos nossos clientes. Esta ação foi concluída sem qualquer impacto para o utilizador.
Se determinarmos que qualquer outra tecnologia ou pacote OPSWAT pode ser potencialmente vulnerável, notificaremos todos os clientes afectados, bem como quaisquer alterações ou actualizações de configuração necessárias.
É importante notar que, no momento desta atualização, OPSWAT não identificou qualquer exposição à vulnerabilidade log4j que possa afetar a utilização segura de quaisquer produtos ou serviços OPSWAT neste momento.
Se esta avaliação mudar, actualizaremos diretamente os clientes afectados.
Se pretender obter mais informações sobre esta vulnerabilidade específica, para além do artigo do NIST, o SANS Internet Storm Center publicou uma descrição geral abrangente no SANS Internet Storm Center. Forneceremos uma atualização da nossa análise às 17:00 EST.
Atualização - 12 de dezembro de 2021 - 9:45 PM EST
Na sexta-feira, 10 de dezembro de 2021, nós, juntamente com o resto da comunidade tecnológica, recebemos a notícia de uma exploração ativa de uma vulnerabilidade de dia zero anteriormente desconhecida(CVE-2021-44228) num componente comum de software baseado em java, referido como log4j.
Desde a notificação, temos estado a analisar ativamente todas as tecnologias e pacotes do OPSWAT para determinar se algum é potencialmente vulnerável a esta exploração. Saiba que esta análise continua e, se determinarmos que qualquer tecnologia ou pacote OPSWAT pode ser potencialmente vulnerável, notificaremos todos os clientes afectados, bem como quaisquer alterações ou actualizações de configuração necessárias.
Estamos a trabalhar nesta análise o mais rapidamente possível. É importante notar que, até ao momento, OPSWAT não avaliou qualquer exposição material à vulnerabilidade log4j que possa afetar a utilização segura de quaisquer produtos OPSWAT . Se esta avaliação mudar, actualizaremos diretamente os clientes afectados.
Forneceremos uma atualização da nossa análise a 13 de dezembro, às 12:00PM EST. Se tiver alguma questão ou dúvida adicional que pretenda resolver antes dessa data, contacte-nos através de qualquer um dos nossos canais de apoio.
Se quiser saber mais sobre esta vulnerabilidade específica, para além do artigo do NIST, o SANS Internet Storm Center publicou uma descrição geral abrangente no SANS Internet Storm Center.
Obrigado pela vossa parceria e pelo vosso negócio!
