Mont-Saint-Hilaire, QC, 20 décembre 2021 - Le 9 décembre, Apache Software Foundation a annoncé que Log4J, une librairie de journalisation open source populaire pour Java, a été découvert comme contenant une vulnérabilité d’exécution de code à distance (RCE) identifiée CVE-2021-44228, maintenant communément nommée Log4Shell. La vulnérabilité sévère était considérée “zero day”, c'est-à-dire qu’elle a été divulguée publiquement avant que les intéressés aient pu prendre les mesures correctives nécessaires.
La vulnérabilité Log4Shell permet à un attaquant d’exécuter du code arbitraire en déclenchant à distance des messages et des commandes pour contourner les services d'authentification pouvant rendre un système vulnérable à une attaque auprès des applications ou des données qui s’y trouvent par extraction. Le programme CVE lui donne la plus haute cote de sévérité.
La cybersécurité étant l’un des principaux piliers de notre engagement auprès de l’industrie et de notre clientèle, AttriX Technologie et ses partenaires traitent cette situation avec une importance cruciale.
Ayant effectué une validation auprès de nos propres systèmes et obtenu celles de nos partenaires, voici les résultats en lien avec les vulnérabilités CVE-2021-44228 et CVE-2021-45046.
Geotab DCE/Télématique :
Produit | Utilité | Statut | État |
MyGeotab |
Solution client |
Non affecté |
✅ |
Geotab Drive |
Solution mobile chauffeur |
Non affecté |
✅ |
Geotab SDK |
Solution de développement et intégration |
Vulnérabilité identifiée et colmatée dans le SDK client java. Les utilisateurs utilisant cette librairie devraient compléter la mise à jour. |
✅ |
Geotab MyAdmin |
Solution pour partenaires et revendeurs |
Non affecté |
✅ |
Micrologiciels du dispositif |
Micrologiciel du dispositif Go7-Go9 |
Non affecté |
✅ |
Pour plus d’informations ou de mises à jour en lien avec les services Geotab :
Communiqué sur CVE - 2021-44228
https://www.geotab.com/blog/geotab-log4j-vulnerability-response/
Centre de sécurité Geotab :
https://www.geotab.com/fr-ca/securite/
Système de gestion des terminaux chauffeurs Knox de Samsung (MDM) :
Produit | Utilité | Statut | État |
Knox Admin Portal |
Portail de gestion |
Non affecté |
✅ |
Knox Mobile Enrollement |
Solution de configuration de l’utilisateur |
Non affecté |
✅ |
Knox Configure |
Solution de configuration de l’utilisateur |
Non affecté |
✅ |
Knox Asset Intelligence |
Module d’analyse de l’état des dispositifs |
Non affecté |
✅ |
Knox manage |
Console de gestion des dispositifs |
Vulnérabilité identifiée et corrigée pour tous, aucune intrusion détectée. |
✅ |
Knox E-fota One |
Module de gestion des mises à jour des dispositifs |
Non affecté |
✅ |
Knox Guard |
Console de gestion en cas de perte d’appareil |
Non affecté |
✅ |
Portail revendeur |
Console de gestion partenaire |
Vulnérabilité identifiée et corrigée pour tous, aucune intrusion détectée. |
✅ |
Pour plus d’informations ou de mises à jour en lien avec les services Samsung et Samsung Knox :
Environnement Google Cloud Services :
Google Cloud SQL |
Service SQL infonuagique |
Non affecté |
✅ |
Google BigQuery |
Entrepôt de données d’entreprise infonuagique |
Non affecté |
✅ |
Infrastructure de visualisation des mégadonnées Lighthouse bâti sur solution Google |
Solution d’analyse et visualisation avancée des mégadonnées |
Vulnérabilité identifiée et corrigée pour tous, aucune intrusion détectée. |
✅ |
Google Compute Engine |
Service IaaS (infrastructure as a service) |
Non affecté |
✅ |
Google Cloud Functions |
Service FaaS (functions as a service) évolutive |
Non affecté |
✅ |
Pour plus d'informations ou de mises à jour en lien avec les services Google :
https://cloud.google.com/log4j2-security-advisory?hl=en
Vue d’ensemble de l’impact auprès d’AttriX et ses partenaires :
La portion télématique et DCE, sécurisée par Geotab, qui héberge l’ensemble des données clients, n’a pas été affectée par cette vulnérabilité à Log4j. Geotab n’a trouvé aucune tentative d’exploitation réussie de son infrastructure.
Les solutions de gestion à distances des terminaux chauffeurs, utilisant la solution MDM Samsung Knox, ont identifié deux composantes vulnérables parmi l’ensemble de ses services qui ont aussitôt été colmatés et mis à jour. Samsung n'a trouvé aucune tentative d’intrusion réussie de son infrastructure.
Aucune des composantes de l’environnement interne ou infonuagique propre à AttriX ne comporte la vulnérabilité identifiée. Le seul service interne ayant accès aux données d’entreprise qui s’est avéré vulnérable a été rapidement colmaté le lundi 13 décembre par Google. Google et AttriX n’ont trouvé aucune tentative d’intrusion réussie dans les services utilisés.
Grâce au haut niveau de sécurité de l’ensemble de ses partenaires, AttriX confirme que les services clients étaient principalement non vulnérables et la faible quantité de services qui utilisaient Log4j, ont été rapidement identifiés et mis à jour. Les services sont derrière des pare-feu à jour et les validations n’ont révélé aucune tentative d’intrusion réussie.
AttriX renforce l’importance du haut niveau de sécurité de ses partenaires ainsi que leurs certifications incluant :
Geotab : ISO27001, FiPS140-2 et FedRamp
Google : ISO27001 et FedRamp
Samsung : FIPS140-2
Samsung Knox : FedRamp NIAP
AttriX et ses partenaires continuent de suivre la situation de près et recommande à sa clientèle de valider l’état en lien avec la vulnérabilité Log4j auprès de leurs fournisseurs technologiques. La vulnérabilité Log4j peut impacter autant les serveurs infonuagiques que les serveurs « on premises », sur place. Il est impératif d’obtenir la confirmation que les serveurs et les solutions des versions affectées par le Log4j sont utilisées et, le cas échéant, que les correctifs soient appliqués promptement et correctement. Il est également primordial d’avoir des outils et des mesures en place pour assurer une traçabilité des tentatives d’intrusion pour assurer l’intégrité et la sécurité des systèmes connectés.