Información sobre vulnerabilidad Log4j 2 de Apache (CVE-2021-44228) / [CVE-2021-45046 (14 de diciembre de 2021)]
Zebra Technologies sigue muy de cerca la vulnerabilidad de seguridad en la utilidad de código abierto "Log4j 2" de Apache (CVE-2021-44228). Actualmente estamos valorando el impacto potencial de la vulnerabiliad en los productos y soluciones de Zebra. Se trata de un evento continuo y seguiremos facilitando actualizaciones a través de nuestros canales de comunicación con los clientes. Nuestra página de soporte se actualizará para incluir información importante según vaya estando disponible.
Antecedentes: la utilidad Log4j de Apache es un componente usado con frecuencia en las peticiones de log. El 9 de diciembre de 2021, se informó de una vulnerabilidad que podría comprometer a un sistema con la versión 2.14.1 o superior con el Log4j de Apache y permitir de este modo que un atacante ejecutara código de forma abitraria.
El 10 de diciembre de 2021, el NIST publicó una alerta crítica de exposición y vulnerabilidades comunes, CVE-2021-44228. Más específicamente, las características de Java Naming Directory Interface (JNDI) usadas en la configuración, los mensajes de logo y los parámetros no protegen frente a LDAP controlados por atacantes y otros extremos relacionados con JNDI. Un atacante que pueda controlar mensajes de logo o parámetros de mensajes de log puede ejecutar código arbitrario cargado en servidores remotos una vez activado el mensaje de sustitución.
CVE-2021-45046 (14 de diciembre de 2021)
Descripción: se ha descubierto que la solución para abordar la CVE-2021-44228 en el Log4j 2.15.0 de Apache estaba incompleta en algunas configuraciones no predeterminadas. Esto podría permitir que los atacantes con control sobre los datos de entrada de Thread Context Map (MDC) cuando la configuración de logging use un Pattern Layout no predeterminado con un Context Lookup (p. ej. $${ctx:loginId}) o un patrón Thread Context Map (%X, %mdc o %MDC) creasen datos de entrada maliciosos que usen un patrón JNDI Lookup resultante en una denegación de ataque de servicios (DOS). El Log4j 2.15.0 hace todo lo posible por restringir las búsquedas JNDI LDAP a localhost de forma predeterminada. El Log4j 2.16.0 resuelve este problema eliminando el soporte para los patrones de búsqueda de mensaje y deshabilitando la funcionalidad JNDI por defecto.
¿Qué debería hacer para protegerme?
Recomendamos encarecidamente a nuestros clientes que consulten con a sus proveedores de software y se hagan con parches y actualizaciones en cuando puedan para todas las aplicaciones de software que se vean afectadas
En el caso de servidores o aplicaciones de desarrollo interno, recomendamos encarecidamente a nuestros clientes encargados de gestionar entornos con Log4j 2 que actualicen a la versión Log4j 2.15.0 o posterior según indica la guía de Apache https://logging.apache.org/log4j/2.x/
PAGINAS DE APOYO PARA PRODUCTOS IMPACTADOS:
| Producto afectado | CVE-2021-44228 (Log4j 2 de Apache) | Fecha | CVE-2021-45046 | Fecha |
| Visibility IQ (VIQF) | Exposición limitada a esta vulnerabilidad, solución finalizada | Solucionado 12 de diciembre de 2021 |
No afectado | N/A |
| SOTI MobiControl v 14.3 a 15.4.1 - Entornos alojados | Exposición limitada a esta vulnerabilidad. El equipo de ingenieros está trabajando de forma activa para resolverlo | Solucionado 22 de diciembre de 2021 |
Exposición limitada a esta vulnerabilidad. El equipo de ingenieros está trabajando de forma activa para resolverlo | Solucionado 22 de diciembre de 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Tras la valoración continuada de la vulnerabilidad, se ha determinado que los siguientes productos de Workforce Connect (WFC) no se han visto afectados por esta vulnerabilidad | N/A | Tras la valoración continuada de la vulnerabilidad, se ha determinado que los siguientes productos de Workforce Connect (WFC) no se han visto afectados por esta vulnerabilidad | N/A |
| Mensaje de Zebra Enterprise | Después de investigar, se ha determinado que el uso de esta versión no se ve afectado por esta vulnerabilidad. | Solucionado 15 de diciembre de 2021 |
No afectado | N/A |
| Fetch | Exposición limitada a esta vulnerabilidad. El equipo de ingenieros ha solucionado el problema | Solucionado 12 de diciembre de 2021 |
Exposición limitada a esta vulnerabilidad. El equipo de ingenieros está trabajando de forma activa para resolverlo | Tras la valoración continua de la vulnerabilidad, se ha determinado que este producto no se ha visto afectado. |
| Reflexis | Exposición completa a esta vulnerabilidad. El equipo de ingenieros está trabajando de forma activa para solucionarlo | Fecha de solución: 29 de diciembre de 2021 | Exposición completa a esta vulnerabilidad. El equipo de ingenieros está trabajando de forma activa para solucionarlo | Fecha de solución: 7 de enero de 2022 |
| Visibility Server Software (ZLS) | Después de investigar, se ha determinado que el uso de esta versión no se ve afectado por esta vulnerabilidad. | Solucionado 14 de diciembre de 2021 |
Después de investigar, se ha determinado que el uso de esta versión no se ve afectado por esta vulnerabilidad. | N/A |
| MotionWorks Enterprise (ZLS) | Vulnerabilidad solucionada mediante el ajuste Dlog4j2.formatMsgNoLookups=true al iniciar JVM | Solucionado 14 de diciembre de 2021 |
Riesgo bajo: los componentes que usan log4j solo recibirán peticiones cuando el usuario esté autenticado. No hacen log de entradas de usuario arbitrarias. | Solucionado 19 de diciembre de 2021 |
| Zebra Profitect (ZPA) | Exposición limitada a esta vulnerabilidad. El equipo de ingenieros ha eliminado IntelliJ y Log4J para solucionarlo | Solucionado 10 de diciembre de 2021 |
No afectado | N/A |
| Printer Profile Manager Enterprise (PPME) | No se ha visto afectado por esta vulnerabilidad. La versión 3.2.7563 y posteriores eliminan y/o actualizan archivos y componentes relacionados con Log4j. Visita la página de soporte. |
Actualizado a 8 de febrero de 2021 | No se ha visto afectado por esta vulnerabilidad. La versión 3.2.7563 y posteriores eliminan y/o actualizan archivos y componentes relacionados con Log4j. Visita la página de soporte. |
Actualizado a 8 de febrero de 2021 |
Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.
A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.
¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?