Vulnerabilidade do Log4J

Em 10 de dezembro de 2021, um bug no Log4J, um mecanismo de registro onipresente presente em muitas aplicações Java, foi divulgado publicamente. Você pode encontrar informações detalhadas sobre CVE-2021-44228 clicando aqui. Esta é uma atualização rápida para informar como abordamos os problemas em nossas aplicações de backend, que são em grande parte construídas com Java Enterprise.

1. Atualizamos as aplicações Spring Boot para usar a última versão do Log4J: org.apache.logging.log4j:log4j-bom:2.15.0
2. Configuramos as aplicações Spring Boot para ignorar as solicitações JNDI: spring: jndi: ignore: true

1. Cada VM agora está executando com a Opção JVM - Dlog4j2.formatMsgNoLookups=true para mitigar qualquer possível divulgação de informações.
2. Nossos serviços de backend não estão abertos e operam atrás de uma configuração de firewall/load balancer. Investigamos nossos registros e sistemas de segurança para verificar solicitações JNDI/LDAP e não encontramos nenhuma, o que nos leva a acreditar que nossos sistemas não foram escaneados em busca dessas vulnerabilidades.

Você pode encontrar mais informações sobre a vulnerabilidade do Log4J descrita em CVE-2021-44228 nos seguintes links:

• https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
• https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
• https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
• https://github.com/YfryTchsGD/Log4jAttackSurface