ACTUALIZACIÓN: Hemos confirmado que todos los proveedores externos se han actualizado para resolver los problemas identificados actualmente tanto en CVE-2021-44228 como CVE-2021-45046.
Pequeño resumen
El 9 de diciembre de 2021, nos enteramos de una vulnerabilidad crítica en Log4j, una biblioteca de Java de Apache Software Foundation, descrita en CVE-2021-44228. Poco después, nos enteramos de CVE-2021-45046, que también involucra a Log4j. Slack, como muchos servicios basados en la nube, usa Log4j para procesar registros.
De inmediato tomamos medidas para evaluar nuestra infraestructura y las aplicaciones del cliente, y para realizar actualizaciones con el propósito de mitigar el impacto de la vulnerabilidad. El 13 de diciembre de 2021 finalizamos la mitigación inicial de CVE-2021-44228 y el 17 de diciembre, la mitigación de CVE-2021-45046. A partir del 17 de diciembre de 2021, hemos aplicado todos los parches y mitigaciones necesarios a los servicios de producción de Slack vulnerables a los problemas identificados actualmente en CVE-2021-44228 y CVE-2021-45046, y estamos ejecutando los pasos de validación finales.
¿Quién se vio afectado?
Aún no hemos completado nuestro análisis de impacto. Para cualquier vulnerabilidad que ponga en riesgo el servicio de Slack.com y los datos del cliente, llevamos a cabo una investigación para determinar si los atacantes aprovecharon la vulnerabilidad para obtener acceso a los datos del cliente. Esta investigación está en proceso para CVE-2021-44228 y CVE-2021-45046 y puede que tarde un poco en completarse. Si descubrimos que los datos de algún cliente se vieron comprometidos como resultado de esta vulnerabilidad, nos comunicaremos inmediatamente con él.
¿Qué le queda por hacer a Slack?
Todavía estamos verificando que no se haya omitido nada en el proceso de mitigación, asegurando que las mitigaciones temporales se conviertan en permanentes e investigando para determinar si los datos de algún cliente se vieron afectados durante el tiempo en que Slack estuvo vulnerable.
[Nota del editor: Se ha confirmado el estado de los proveedores externos, consulta la actualización más arriba.] Además, aún estamos esperando la confirmación de algunos proveedores de que sus servicios están completamente parcheados. Continuaremos monitoreando los desarrollos relacionados con las vulnerabilidades de Log4J y actualizaremos nuestras mitigaciones si es necesario.
¿Qué debo hacer?
Si corresponde, recomendamos que los clientes investiguen los riesgos relacionados con las integraciones de Slack (ver más abajo). El servicio de Slack se actualizó en segundo plano. Los clientes no necesitan actualizar a sus clientes, que no usaron Log4j, ni realizar ningún cambio para recibir los parches y las mitigaciones implementadas para proteger el servicio de Slack.
Para aquellos que necesitan más información
Para responder a estas vulnerabilidades, inspeccionamos nuestros servidores en los entornos operativos corporativos, de producción y de desarrollo, nuestros repositorios de códigos y los procesos de producción en ejecución para identificar todos los usos potenciales de Log4j. Usamos estos datos para compilar una lista de todos los servicios potencialmente vulnerables y comenzamos a aplicar parches o soluciones para mitigar el posible impacto del problema. En este momento, contamos con mitigaciones para el servicio de Slack que se alinean con las recomendaciones de CVE-2021-44228 y CVE-2021-45046. Continuamos evaluando el impacto potencial de estas vulnerabilidades a medida que se proporciona información nueva.
Si bien el servicio de Slack y la API procesan los datos mediante Log4j, los clientes que usan Slack en dispositivos móviles y computadoras no se vieron afectados por estas vulnerabilidades, ya que no usan Log4j.
No podemos evaluar el efecto de estas vulnerabilidades en los proveedores de servicios en nuestro directorio de aplicaciones. Estos proveedores de servicios pueden o no usar Log4j. Ponte en contacto directamente con los proveedores de servicios para obtener más información mediante el enlace «Obtener asistencia» en la lista de aplicaciones en el Directorio de aplicaciones de Slack.
Si has creado tus propias integraciones que interactúan con datos en Slack (también conocidas como «integraciones personalizadas»), debes revisar las implicancias que esto puede tener en tu propio uso de Log4j para asegurarte de que:
- Los datos que escribes en Slack mediante estas integraciones personalizadas cuentan con la protección de Slack (es su responsabilidad), y los servidores de Slack se han actualizado para mitigar las vulnerabilidades de Log4j, según la información proporcionada anteriormente.
- Los datos que lees de Slack y entregas a tu propia infraestructura presentan un riesgo menor si todos los datos en tu espacio de trabajo de Slack provienen de fuentes confiables.
- Sin embargo, si alguna fuente en la que no confías completamente está publicando datos en tu espacio de trabajo de Slack, debes asegurarte de inmediato de que cualquier infraestructura que alojes que admita el registro a través de Log4j se ha parcheado y está completamente actualizada.
¿Qué más debo saber?
Hay varias fuentes útiles que proporcionan información básica sobre la biblioteca Log4j y sus problemas. Para aquellos que quieren más contexto, recomendamos:
Si tienes preguntas técnicas, comunícate con los miembros del equipo de asistencia de Slack. Crearán un caso con mucho gusto.
¡Genial!
¡Muchísimas gracias por tus comentarios!
¡Entendido!
Gracias por tus comentarios.
¡Uy! Estamos teniendo dificultades. Por favor, inténtalo de nuevo más tarde.