Tagged: Log4Shell

VMware Safe Products – Log4j

VMware Safe Products

Vous trouver dans cette article une liste des produits VMware qui ne sont pas impacté par la vulnérabilité Log4Shell du produit Log4j.

En revanche, la liste des produits VMware concernés par cette vulnérabilité est disponible sur notre article CVE-2021-44228.

VMware Safe Products

Produits Non Impactés

  • VMware vSphere ESXi
  • VMware Cloud Director (VCD)
  • VMware vCloud Availability
  • VMware NSX Advanced Load Balancer (Avi)   
  • VMware Workspace ONE Assist
  • VMware RemoteHelp
  • VMware vCloud Usage Meter
  • VMware Tanzu Kubernetes Grid
  • SaltStack
  • VMware App Volumes 
  • VMware ThinApp
  • ThinApp SDK
  • Dynamic Environment Manager (DEM) 
  • Workspace ONE Unified Endpoint Management (UEM)
  • VMware Postgres
  • VMware Tanzu RabbitMQ
  • VMware Tanzu RabbitMQ for Kubernetes
  • VMware Tanzu RabbitMQ for VMs
  • VMware Tanzu SQL with Postgres for Kubernetes
  • VMware Tanzu SQL with MySQL for Kubernetes
  • Data Management for VMware Tanzu (DMS)
  • VMware Telco Cloud Automation (TCA)
  • VMware Workstation
  • VMware Fusion
  • VMware Skyline Collector virtual appliance
  • Workspace ONE Intelligence
  • MySQL for TAS (Tanzu Application Service)
  • VMware Workstation Player
  • Cloud Director App Launchpad
  • vROps TenantApp
  • AirWatch Cloud Connector
  • VMware NSX Lastline Defender On-Premises
  • VMware NSX Lastline Defender Hosted/SaaS
  • Update Manager Download Service (UMDS)
  • Metrics Store
  • Event Alerts
  • VMware Workspace ONE Assist for Horizon
  • VMware Tools
  • VMware Tanzu Toolkit for Kubernetes
  • Secure Email Gateway
  • VMware Cloud Director App Launchpad
  • Skyline Health Diagnostics 
  • Carbon Black App Control
  • VMware Tanzu Build Service
  • Workspace ONE Tunnel
  • VMware Email Notification Service 2

Remarque : des produits supplémentaires peuvent être ajoutés à la liste.

VMware Safe Products

VMSA-2021-0028

Suite à la vulnérabilité zero-day au niveau Apache Log4j CVE-2021-44228, le 10 décembre 2021, VMware a publié l’avis de sécurité VMSA-2021-0028.

VMware, à travers VMware Security Advisories VMSA-2021-0028, confirme sa réactivité et son efficacité vis-à-vis de ces clients et des entreprises qui utilisent ces produits.

VMSA-2021-0028 (et les articles associés) est la seule source officielle et fiable de VMware pour communiquer et gérer cette vulnérabilité, contient des informations sur les produits impactés, les solutions de contournement et les correctifs dès qu’ils sont disponibles.

L’analyse d’impact, l’identification des produits concernés, la maturité des solutions de contournement (Workaround) et la disponibilité des correctifs évolueront étant donné qu’il s’agit d’une vulnérabilité zero-day et que la majorité des produits sont impactés. .

Par conséquent, vous devez suivre de près les mises à jour de VMSA-2021-0028.

VMSA-2021-0028

Produits impactés (en cours d’évaluation)

  • VMware Horizon
  • VMware vCenter Server
  • VMware HCX
  • VMware NSX-T Data Center
  • VMware Unified Access Gateway
  • VMware WorkspaceOne Access
  • VMware Identity Manager 
  • VMware vRealize Operations
  • VMware vRealize Operations Cloud Proxy
  • VMware vRealize Automation
  • VMware vRealize Lifecycle Manager
  • VMware Site Recovery Manager, vSphere Replication
  • VMware Carbon Black Cloud Workload Appliance
  • VMware Carbon Black EDR Server
  • VMware Tanzu GemFire
  • VMware Tanzu GemFire for VMs
  • VMware Tanzu Greenplum
  • VMware Tanzu Operations Manager
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Observability by Wavefront Nozzle
  • Healthwatch for Tanzu Application Service
  • Spring Cloud Services for VMware Tanzu
  • Spring Cloud Gateway for VMware Tanzu
  • Spring Cloud Gateway for Kubernetes
  • API Portal for VMware Tanzu
  • Single Sign-On for VMware Tanzu Application Service
  • App Metrics
  • VMware vCenter Cloud Gateway
  • VMware vRealize Orchestrator
  • VMware Cloud Foundation
  • VMware Workspace ONE Access Connector
  • VMware Horizon DaaS
  • VMware Horizon Cloud Connector
  • VMware NSX Data Center for vSphere
  • VMware AppDefense Appliance
  • VMware Cloud Director Object Storage Extension
  • VMware Telco Cloud Operations
  • VMware vRealize Log Insight
  • VMware Tanzu Scheduler
  • VMware Smart Assurance NCM
  • VMware Smart Assurance SAM [Service Assurance Manager]
  • VMware Integrated OpenStack
  • VMware vRealize Business for Cloud
  • VMware vRealize Network Insight
  • VMware Cloud Provider Lifecycle Manager 
  • VMware SD-WAN VCO
  • (Des produits supplémentaires peuvent être ajoutés)

Log4J : Log4Shell – CVE-2021-44228

Ce que vous ne savez pas sur qui, quand et comment la vulnérabilité Log4Shell du produit Log4j a été détectée pour la première fois.

Une vulnérabilité zero-day CVE-2021-44228 a été découverte dans la célèbre bibliothèque (Java library) de journalisation Apache Log4j.

Cette vulnérabilité permet à un hacker l’execution de code à distance ‘’remote code execution’’

La vulnérabilité a été découverte par des chercheurs de l’équipe de sécurité d’Alibaba Cloud qui ont notifié la Fondation Apache le 24 novembre 2021.

Les chercheurs ont souligné qu’Apache Struts2, Apache Solr, Apache Druid, Apache Flink sont tous affectés par cette vulnérabilité.

Par la suite, la vulnérabilité a été publiée pour la première fois lorsqu’un chercheur (chinois) avec le pseudo « p0rz9 » a partagé sur Twitter un lien GitHub d’une preuve de concept (PoC) de l’exploitation de cette vulnérabilité zero-day.

Aussi, Cisco Talos a déclaré dans un article qu’il avait repéré pour la première fois une activité de menace liée à la vulnérabilité le 2 décembre 2021, bien avant la divulgation publique.

Cela signifie que cette vulnérabilité a été identifiée et exploitée bien avant la publication du CVE-2021-44228 et qu’il y a déjà eu des cas d’utilisation active de cette vulnérabilité «in the wild» envers certaines entreprises et organisations.

Criticité

Selon les experts, la vulnérabilité est facile à exploiter et ne nécessite pas de configuration particulière, pour cette raison, elle a reçu un score CVSSv3 de 10/10.

Le CVSS est le le “Common Vulnerability Scoring System (CVSS)” et L’échelle est de 1 à 10.

10 étant le plus haut niveau de criticité.

Risques

Exécution de code à distance [Remote Code Execution]

Systèmes affectés

  • Toutes les versions Apache Log4j de 2.0 à 2.14.1
  • Apache Log4j versions 1.x, si le composant JMS Appenders est configuré pour prendre en compte JNDI.
  • Les produits utilisant une version vulnérable de Apache Log4j.

Tout projet utilisant log4j est potentiellement vulnérable, une analyse rapide a révélé que la vulnérabilité affecte potentiellement tout logiciel utilisant cette bibliothèque.

Non seulement la vulnérabilité affecte des milliers de programmes, mais l’exploitation de cette vulnérabilité est très simple.

De ce fait, les hackers commencent déjà à lancer des attaques à grande échelle et la grande variété de systèmes vulnérables aggrave encore la situation.

Solutions

La problématique et l’enjeu aujourd’hui est d’obtenir des correctives pour ces milliers de produits impactés.

Dans l’attente des correctives, il faut agir efficacement avec les moyens du bord.

Par conséquent, il est fortement recommandé de :

  • Élaborer un inventaire des solutions qui utilisent log4j.
  • Se référer aux communications (notamment bulletin de sécurité) des éditeurs (sinon contactez-les) pour vérifier si les solutions/produits que vous utilisez sont exposés à cette vulnérabilité.
  • Mettre à jour Log4J vers la version 2.15.0. 2.12.2 pour Java 7 et 2.16.0 pour Java 8 et versions ultérieures.
  • S’assurer de la viabilité des configurations appliquer au niveau de vos équipements réseau et sécurité (WAF, FW, etc…) frontaux (In/out vers internet).
  • Suspendre la publication sur internet de tout service impacté (au moins jusqu’à l’application de Workaround).
  • Appliquer dans les plus brefs délais la solution de contournement (workaround) communiquée par l’éditeur.
  • Appliquer les mises à jour une fois publiées par les éditeurs (la publication des correctifs prend généralement un peu de temps pour les vulnérabilités zero-day).

Informations complémentaires

  • Des exemples de cette vulnérabilité sont publiés sur GitHub : URL
  • Québec a fermé préventivement près de 4 000 sites Web gouvernementaux : URL
  • p0rz9 a mentionné que le PoC a révélé que la vulnérabilité ne peut être exploitée que si l’option log4j2.formatMsgNoLookups est définie sur false.

Badr Eddine CHAFIQ