ATUALIZAÇÃO: Agora confirmamos que todos os fornecedores terceirizados foram corrigidos para solucionar os problemas atualmente identificados em CVE-2021-44228 e CVE-2021-45046.
Um resumo breve
Em 9 de dezembro de 2021, descobrimos a existência de uma vulnerabilidade crítica no Log4j, uma biblioteca de Java da Apache Software Foundation, descrita em CVE-2021-44228. Pouco tempo depois, soubemos sobre o CVE-2021-45046, que também envolvia o Log4j. O Slack, tal como muitos serviços baseados na nuvem, usa o Log4j para processar logs.
Adotamos medidas imediatamente para avaliar a nossa infraestrutura e os aplicativos dos clientes, assim como para que as atualizações limitem o impacto da vulnerabilidade. Concluímos o processo inicial de mitigação do CVE-2021-44228 em 13 de dezembro de 2021, e a mitigação do CVE-2021-45046 foi concluída em 17 de dezembro. A partir de 17 de dezembro de 2021, aplicamos todas as mitigações e correções necessárias aos serviços de produção do Slack que estavam vulneráveis aos problemas identificados no CVE-2021-44228 e no CVE-2021-45046, e estamos executando as medidas de validação finais.
Quem foi afetado?
Ainda não concluímos a análise do impacto. Para qualquer tipo de vulnerabilidade que coloque em risco o serviço do Slack.com e os dados dos clientes, realizamos uma investigação para determinar se a vulnerabilidade foi explorada por invasores para obter acesso a dados dos clientes. Essa investigação está em andamento para o CVE-2021-44228 e o CVE-2021-45046, e pode demorar algum tempo até que seja concluída. Se descobrirmos que algum tipo de dados dos clientes tenha sido comprometido em consequência de tal vulnerabilidade, entraremos em contato com o cliente imediatamente.
O que mais o Slack deve fazer?
Ainda estamos verificando se não faltou nada no processo de mitigação, garantindo que as mitigações temporárias se tornem permanentes e realizando investigações para determinar se algum tipo de dados dos clientes foi afetado no período em que o Slack estava vulnerável.
[Nota do editor: o status de fornecedores terceirizados agora foi confirmado. Consulte a atualização acima.] Além disso, ainda estamos esperando a confirmação por parte de alguns fornecedores de que os seus serviços estão inteiramente corrigidos. Vamos continuar a monitorar os desdobramentos relacionados às vulnerabilidades do Log4J e atualizar as mitigações, se necessário.
É necessário fazer alguma coisa?
Se aplicável, recomendamos que os clientes investiguem os riscos relacionados às integrações do Slack (ver abaixo). O próprio serviço do Slack foi atualizado no sistema. Os clientes não precisam atualizar os registros dos seus clientes que não usavam o Log4j, nem fazer qualquer alteração para receber correções e mitigações implantadas para proteger o serviço do Slack.
Para quem precisar de mais informações
De modo a responder a essas vulnerabilidades, inspecionamos nossos servidores em termos de produção, desenvolvimento e ambientes operacionais corporativos, além dos nossos repositórios de códigos e processos de produção em execução, para identificar todos os usos potenciais do Log4j. Usamos esses dados para compilar uma lista de todos os serviços potencialmente vulneráveis e para começar a aplicar correções e soluções para mitigar os potenciais impactos do problema. Neste momento, estamos executando mitigações para os serviços do Slack que estejam de acordo com as recomendações do CVE-2021-44228 e do CVE-2021-45046. Continuamos a avaliar o impacto potencial de tais vulnerabilidades à medida que são obtidas novas informações.
A API e os serviços do Slack processam dados usando o Log4j, mas os clientes do Slack de dispositivos móveis e computadores não foram afetados por essas vulnerabilidades, uma vez que não usam o Log4j.
Não conseguimos avaliar o efeito dessas vulnerabilidades nos provedores de serviços do nosso diretório de apps. Tais provedores de serviços podem usar o Log4j ou não. Entre em contato diretamente com os provedores de serviços para obter mais informações através do link “Obter suporte”, na listagem de apps do diretório de apps do Slack.
Se você criou as suas próprias integrações que interagem com dados no Slack (o que também é conhecido como “integrações personalizadas”), deverá analisar as implicações que isso pode causar no seu uso do Log4j, considerando que:
- A proteção dos dados que você grava NO Slack através dessas integrações personalizadas constituem responsabilidade do Slack, e os servidores do Slack foram atualizados para mitigar as vulnerabilidades do Log4j, de acordo com as informações fornecidas acima.
- Os dados que você lê DO Slack e envia para a sua própria infraestrutura representam um risco mais reduzido se todos os dados do seu workspace do Slack forem provenientes de fontes confiáveis.
- Contudo, se alguma fonte na qual você não confia inteiramente postar dados no seu workspace do Slack, você deve assegurar imediatamente que qualquer infraestrutura hospedada que seja compatível com logs através de Log4j tenha sido corrigida e completamente atualizada.
O que mais é necessário saber?
Existem muitas fontes úteis para fornecer informações gerais sobre a biblioteca do Log4j e os seus problemas. Para quem quiser obter informações mais detalhadas, recomendamos o seguinte:
Para questões técnicas, entre em contato com os membros da equipe de suporte do Slack. Eles terão o prazer em fornecer apoio técnico.