Réponse SheerID à la vulnérabilité Log4j

Le 9 décembre 2021, une vulnérabilité pour Log4j a été rendue publique. Log4j est une bibliothèque de journalisation couramment utilisée créée par Apache Software Foundation et utilisée dans d'innombrables applications à travers le monde. Parce que les attaquants ont essayé d'exploiter la vulnérabilité, c'est devenu un problème mondial. Depuis que nous avons pris connaissance de cette vulnérabilité, nous avons évalué les applications et les systèmes SheerID pour déterminer si certains sont potentiellement vulnérables à cet exploit.

Aucun impact sur les clients SheerID
Les équipes de sécurité de l'information et d'ingénierie de SheerID ont confirmé que toutes ses applications et services critiques qui accèdent aux données des clients ont été mis à niveau ou n'utilisent pas de version vulnérable de cette bibliothèque de journalisation populaire. Aucune donnée de vérification client n'a été perdue ou affectée en raison de cette vulnérabilité.

Ce que nous faisons
Nos équipes de sécurité de l'information et d'ingénierie ont évalué les impacts potentiels de cette vulnérabilité service par service, classés par niveau de criticité et de risque. À l'aide de configurations de gestion des dépendances, nous avons inventorié les services qui utilisent Log4J comme dépendance directe ou transitive, et avons confirmé qu'il n'y a aucun exploit présent. De plus, nous travaillons avec nos fournisseurs de services intégrés pour nous assurer que leurs solutions ont été corrigées en conséquence.

Nous avons observé des tentatives d'exploitation de cette vulnérabilité, mais n'avons observé aucune exploitation réussie dans notre environnement.

Nous continuons de surveiller la situation
Nous avons déterminé qu'il n'y a pas d'impact sur les systèmes contenant des données client. Nous continuerons d'évaluer les services à faible risque cette semaine et d'atténuer les systèmes vulnérables, soit en mettant à niveau vers une version corrigée de la bibliothèque, soit en configurant la JVM pour interdire les recherches, d'ici le 12/17/2021.

Si vous êtes un client avec des questions ou des préoccupations, veuillez contacter votre responsable du service client SheerID. Nous fournirons des mises à jour de cette page au besoin.

Partagez cet article