Les produits Paradigm et les ressources internes ne sont pas exposés.

 
Le 9 décembre 2021, une vulnérabilité de cybersécurité zero-day a été découverte dans un framework de journalisation Java très populaire nommé Apache log4j version 2.x. Cette vulnérabilité a reçu le score de gravité maximum possible de 10,0, avec une note de gravité de « Critique » par le National Institute of Standards and Technology (NIST). Cette vulnérabilité a reçu le nom « Log4Shell ».

L’équipe de cybersécurité Paradigm a enquêté sur l’exposition et l’impact potentiels de nos produits destinés aux clients et des ressources internes de l’entreprise.

Sur la base de cette enquête, nous avons déterminé qu’aucun de nos produits et/ou ressources internes n’est actuellement affecté ou exposé par cette vulnérabilité.

Lien de divulgation des vulnérabilités publiques du NIST : https://nvd.nist.gov/vuln/detail/CVE-2021-44228

CVE # Affectés Contreindications Exploitations connues Évaluation CVE Évaluation de l’impact Paradigm
Corporatif Produit
CVE-2021-44228 Des chaînes spécialement conçues et analysées par log4j2 peuvent permettre l’exécution de code à distance dans le cadre des droits de l’application de journalisation, permettant un contrôle total du système affecté et la capacité d’atteindre et d’exécuter du code arbitraire.
Applications utilisant log4j2 Aucune Des analyses d’exploitation non efficaces ont été découvertes par la cybersécurité de Paradigm le 10/12/2021. La présence de telles analyses peut indiquer des acteurs actifs de l’exploitation des menaces. 10.0 Aucun Aucun

Les attaquants peuvent exploiter les points de terminaison publics au sein du réseau pour compromettre les machines et les utiliser pour se déplacer latéralement. Les attaquants pourraient injecter des données dans les applications concernées qui pourraient être utilisées ultérieurement à des fins d’exploitation. Les clients de Paradigm sont encouragés à évaluer leur propre utilisation des versions impactées par log4j afin de déterminer leurs propres niveaux de risque et d’exposition potentielle.

Auteur de l’avis Titre Date
Will McCardell Administrateur principal de bases de données 13-12-2021
John August Otte Chef de la sécurité de l’information 13-12-2021
DATE DE DIFFUSION : 14-12-2021
Cet alerte sur les menaces de cybersécurité est fourni à titre gracieux à nos clients et Paradigm n’assume aucune responsabilité quant à son exactitude, son impact sur les produits des clients ou la modification des niveaux de gravité des risques.