ACTUALIZACIÓN: Hemos confirmado que todos los proveedores externos cuentan con los parches para abordar los problemas identificados actualmente en CVE-2021-44228 y CVE-2021-45046.
Resumen breve
El 9 de diciembre de 2021, supimos de una vulnerabilidad crítica en Log4j, una biblioteca Java de la Apache Software Foundation, descrita en CVE-2021-44228. Un poco más tarde, supimos también de CVE-2021-45046, que también implicaba a Log4j. Slack, al igual que muchos servicios basados en la nube, utiliza Log4j para procesar registros.
Inmediatamente emprendimos medidas para evaluar nuestra infraestructura y las aplicaciones de los clientes, y para hacer actualizaciones que mitigaran el impacto de la vulnerabilidad. Finalizamos nuestra mitigación inicial de CVE-2021-44228 el 13 de diciembre de 2021, y nuestra mitigación de CVE-2021-45046 el 17 de diciembre. Desde el 17 de diciembre de 2021, hemos aplicado todos los parches y mitigaciones necesarios para los servicios de producción de Slack vulnerables a los problemas actualmente identificados en CVE-2021-44228 y CVE-2021-45046, y estamos ejecutando nuestras fases finales de validación.
¿A quiénes les ha afectado?
No hemos finalizado aún nuestros análisis de impacto. En el caso de cualquier vulnerabilidad que ponga en peligro al servicio Slack.com y los datos de los clientes, llevamos a cabo una investigación para determinar si los atacantes explotaron la vulnerabilidad para obtener acceso a los datos de los clientes. Esta investigación se encuentra en curso para CVE-2021-44228 y CVE-2021-45046, por lo que su finalización puede llevar cierto tiempo. Si descubrimos que los datos de cualquier cliente se vieron comprometidos como consecuencia de esta vulnerabilidad, nos pondremos en contacto con el cliente sin demora no justificada.
¿Qué le falta a Slack por hacer?
Todavía estamos comprobando que no se ha perdido nada en el proceso de mitigación, asegurándonos de que las mitigaciones temporales se conviertan en permanentes e investigando para determinar si los datos de cualquier cliente se han visto afectados durante el tiempo en que Slack fue vulnerable.
[Nota del editor: Ahora se ha confirmado el estado de los proveedores de terceros. Consulta la actualización de arriba.] Además, todavía estamos esperando confirmación de algunos proveedores de que sus servicios cuentan con todos los parches. Seguiremos vigilando los desarrollos relacionados con las vulnerabilidades de Log4j y actualizando nuestras mitigaciones si fuera necesario.
¿Qué tengo que hacer?
Si procede, recomendamos que los clientes investiguen los riesgos relacionados con las integraciones de Slack (véase más abajo). El propio servicio de Slack se ha actualizado en su parte administrativa. Los clientes no precisan actualizar sus clientes, ya que no utilizaban Log4j, ni efectuar ningún cambio para recibir los parches y mitigaciones implementadas a fin de proteger el servicio de Slack.
Para quienes precisen más detalles
Para responder ante estas vulnerabilidades, inspeccionamos nuestros servidores en los entornos de producción, desarrollo y operaciones empresariales, que ejecutan procesos de producción para identificar todos los usos potenciales de Log4j. Empleamos estos datos para recopilar una lista de todos los servicios potencialmente vulnerables y empezamos a aplicar los parches o alternativas para mitigar el impacto potencial del problema. En este momento, disponemos de mitigaciones para el servicio de Slack que se ajustan a las recomendaciones de CVE-2021-44228 y CVE-2021-45046. Seguimos evaluando el impacto potencial de estas vulnerabilidades a medida que se nos facilite nueva información.
Si bien el servicio de Slack y los datos de procesos API usan Log4j, los clientes de Slack para móviles y escritorios no se vieron afectados por estas vulnerabilidades, pues no utilizan Log4j.
No podemos evaluar el efecto de estas vulnerabilidades en los proveedores de servicios en nuestro directorio de aplicaciones. Estos proveedores de servicios pueden usar o no Log4j. Ponte en contacto con los proveedores de servicios directamente para obtener más información mediante el enlace “Obtener asistencia” del listado de aplicaciones en el Directorio de Aplicaciones de Slack.
Si has creado tus propias integraciones que interactúan con los datos de Slack (denominadas “integraciones personalizadas”), deberías revisar las implicaciones que esto pudiera tener en tu propio uso de Log4j para asegurarte de lo siguiente:
- Slack es responsable de la protección de los datos que escribes en Slack mediante estas integraciones personalizadas, por lo que los servidores de Slack se han actualizado para mitigar las vulnerabilidades de Log4j, según la información facilitada anteriormente.
- Los datos que leas en Slack y que pasen a tu propia infraestructura presentan un riesgo menor si todos los datos de tu espacio de trabajo de Slack proceden de fuentes fiables.
- No obstante, si cualquier fuente en la que no confíes plenamente está publicando datos en tu espacio de trabajo de Slack, deberías asegurarte de inmediato de que toda infraestructura que albergues que admita el registro a través de Log4j se haya parcheado y se encuentre completamente actualizada.
¿Qué más es preciso saber?
Existen fuentes fiables para proporcionar información de contexto relativa a la biblioteca Log4j y sus problemas. Si deseas más contexto, te recomendamos lo siguiente:
Para preguntas técnicas, ponte en contacto con los miembros del equipo de ayuda de Slack. Estarán encantados de crear un caso.
¡Genial!
¡Muchísimas gracias por tus comentarios!
Entendido
Gracias por tus comentarios.
Vaya. Estamos teniendo dificultades. ¡Inténtalo de nuevo más tarde!