Información sobre la vulnerabilidad de Apache Log4j 2 (CVE-2021-44228) / [CVE-2021-45046 (14 de dic. de 2021)]
Zebra Technologies está haciendo activamente un seguimiento de la vulnerabilidad de seguridad en la utilidad de código abierto Apache "Log4j 2" (CVE-2021-44228). Actualmente estamos evaluando el impacto potencial de la vulnerabilidad para los productos y soluciones de Zebra. Se trata de un evento en curso y seguiremos ofreciendo actualizaciones a través de nuestros canales de comunicación con los clientes. Nuestra página de soporte se actualizará para incluir la información correspondiente a medida que esté disponible.
Antecedentes: la utilidad Apache Log4j es un componente comúnmente utilizado para el registro de solicitudes. El 9 de diciembre de 2021, se notificó una vulnerabilidad que podría permitir que un sistema que ejecute la versión 2.14.1 o anterior de Apache Log4j se vea comprometido y un atacante podría ejecutar código arbitrario.
El 10 de diciembre de 2021, el Instituto Nacional de Estándares y Tecnología (NIST) emitió una alerta de Vulnerabilidades y Exposiciones Comunes, CVE-2021-44228. Más concretamente, las características de la JNDI (Java Naming and Directory Interface) utilizada en la configuración, mensajes de registro y parámetros no protegen los terminales del LDAP y otros relacionados con la JNDI controlados por los atacantes. Un atacante que pueda controlar los mensajes de registro o los parámetros de dichos mensajes puede ejecutar código arbitrario cargado desde servidores remotos cuando la sustitución de la búsqueda de mensajes está habilitada.
CVE-2021-45046 (14 de dic. de 2021)
Descripción: se ha detectado que la solución de CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Esto permite que los atacantes con control sobre los datos de entrada de Thread Context Map (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con búsqueda de contexto Context Lookup (por ejemplo, $${ctx:loginId}) o un patrón de Thread Context Map (%X, %mdc, o %MDC) puedan elaborar datos maliciosos utilizando un patrón de Búsqueda JNDI que resulta en un ataque de denegación de servicio (DOS). Log4j 2.15.0 hace un intento de restringir las búsquedas LDAP de JNDI a un servidor local por defecto. Log4j 2.16.0 soluciona este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y desactivar JNDI por defecto.
¿Qué debo hacer para estar protegido?
Recomendamos encarecidamente a los clientes que consulten con sus proveedores de software y obtengan parches y actualizaciones lo antes posible para todas las aplicaciones del SW afectadas.
En el caso de los servidores o aplicaciones desarrollados internamente, recomendamos encarecidamente a los clientes que gestionan entornos que contienen Log4j 2 para actualizar a la versión Log4j 2.15.0 o posterior según la guía de Apache https://logging.apache.org/log4j/2.x/
PAGINAS DE APOYO PARA PRODUCTOS IMPACTADOS:
| Productos afectados | CVE-2021-44228 (Apache Log4j 2) | Fecha | CVE-2021-45046 | Fecha |
| Visibilidad IQ (VIQF) | Exposición limitada a esta vulnerabilidad; corrección completa | Remediado 12 de diciembre de 2021 |
No se ve afectado | N/A |
| SOTI MobiControl v 14.3 a 15.4.1 - Entornos de alojamiento | Exposición limitada a esta vulnerabilidad. El área de ingeniería está trabajando activamente para resolverlo | Remediado 22 de dic. de 2021 |
Exposición limitada a esta vulnerabilidad. El área de ingeniería está trabajando activamente para resolverlo | Remediado 22 de dic. de 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Tras una constante evaluación de la vulnerabilidad, se ha determinado que los siguientes productos de Workforce Connect (WFC) no están afectados por esta vulnerabilidad. | N/A | Tras una constante evaluación de la vulnerabilidad, se ha determinado que los siguientes productos de Workforce Connect (WFC) no están afectados por esta vulnerabilidad. | N/A |
| Zebra Enterprise Messaging | Después de la investigación; uso de la versión que no se vio afectada por esta vulnerabilidad. | Remediado 15 de diciembre de 2021 |
No se ve afectado | N/A |
| Fetch | Exposición limitada a esta vulnerabilidad. Problema de ingeniería mitigado | Remediado 12 de diciembre de 2021 |
Exposición limitada a esta vulnerabilidad. El área de ingeniería está trabajando activamente para resolverlo | Tras una constante evaluación de la vulnerabilidad, se ha determinado que este producto no está afectado por esta vulnerabilidad. |
| Reflexis | Exposición a esta vulnerabilidad; el área de ingeniería está trabajando activamente para resolverlo | Remediado el 29 de dic. de 2021 | Exposición a esta vulnerabilidad; el área de ingeniería está trabajando activamente para resolverlo | Remediado el 7 de ene. de 2022 |
| Visibility Server Software (ZLS) | Después de la investigación; uso de la versión que no se vio afectada por esta vulnerabilidad. | Remediado 14 de diciembre de 2021 |
Después de la investigación; uso de la versión que no se vio afectada por esta vulnerabilidad. | N/A |
| MotionWorks Enterprise (ZLS) | Vulnerabilidad remediada por configuración -Dlog4j2.formatMsgNoLookups=true al iniciar JVM | Remediado 14 de diciembre de 2021 |
Riesgo bajo - Los componentes utilizan log4j sólo recibirán solicitudes cuando el usuario esté autenticado. No registran entradas arbitrarias del usuario. | Remediado 19 de diciembre de 2021 |
| Zebra Profitect (ZPA) | Exposición limitada a esta vulnerabilidad. Ingeniería ha eliminado IntelliJ y Log4J para solucionar | Remediado 10 de diciembre de 2021 |
No se ve afectado | N/A |
| Printer Profile Manager Enterprise (PPME) | No se vio afectada por esta vulnerabilidad. La versión 3.2.7563 y la versión posterior elimina y/o brinda actualización a archivos y componentes relacionados con el Registro4j. Visite la página de asistencia. |
Actualizado el 8 de febrero de 2021 | No se vio afectada por esta vulnerabilidad. La versión 3.2.7563 y la versión posterior elimina y/o brinda actualización a archivos y componentes relacionados con el Registro4j. Visite la página de asistencia. |
Actualizado el 8 de febrero de 2021 |
Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.
A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.
¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?