Log4J non influenza la sicurezza di DocuWare
Molti clienti ci stanno chiedendo come devono intervenire sul sistema DocuWare.
Le notizie quelle belle: Tu e il tuo IT potete dormire tranquilli! Con DocuWare i tuoi dati sono al sicuro!
In Palo Alto monitoriamo attentamente ciò che accade nel mondo rispetto al tema sicurezza e ci assicuriamo che i nostri partner commerciali facciano in modo di garantirla sempre sui loro prodotti.
Negli ultimi giorni ci sono stati problemi di sicurezza a livello internazionale per la vulnerabilità zero day che ha coinvolto la libreria Log4j.
Sono coinvolte tutte le applicazioni Java esposte in rete che utilizzano tale libreria per scrivere i propri file di log. Chi gestisce applicazioni aziendali e siti web basati su tecnologia Java si è trovato improvvisamente a dover decidere come intervenire per garantire la sicurezza dei dati gestiti cercando di non compromettere le proprie attività.
DocuWare, sistema certificato secondo le più severe normative di sicurezza, è intervenuta tempestivamente per verificare eventuali impatti e fornire soluzioni ai propri clienti.
Desideriamo dunque condividere quanto segue:
1) La maggior parte dei prodotti DocuWare non utilizza affatto Java e pertanto non sono coinvolti. Alcuni componenti minori del prodotto utilizzano la libreria interessata ma non sono coinvolti o non più!
2) DocuWare ha reagito prontamente, ha analizzato tutti gli elementi della suite per escludere vulnerabilità e rafforzato ove necessario.
Potete trovare qui un report di quanto DocuWare ha analizzato e del non impatto sui suoi elementi.
Cos’è Log4J
Il mondo Apache Java è usato per la realizzazione di moltissimi sistemi aziendali, siti web, app mobile e servizi online. La libreria Java Log4j, nello specifico, è utilizzata per gestire le operazioni di logging.
Le vulnerabilità più grandi non sempre sfruttano i punti deboli dei sistemi! Spesso sfruttano gli optional comodi e i plus dei sistemi. È dei giorni scorsi la notizia della nuova vulnerabilità che trovate con il nome di CVE-2021-44228 o Log4Shell o Log4j. La vulnerabilità affligge la libreria log4j realizzata da Apache, dalla versione 2.0 alla 2.14.1. Apache ha prontamente aggiornato alla versione 2.15.0.x ma potrebbe non essere sufficiente.
Capiamoci qualcosa di più.
Perché Java
È strategico da parte dei cattivi colpire Java poiché è un linguaggio di programmazione molto molto utilizzato grazie alla sua flessibilità e neutralità: prescinde infatti dal sistema operativo della macchina ospitante.
Gli sviluppatori Java utilizzano le cosiddette JVM (Java Virtual Machine) su cui gira il programma di compilazione che traduce il codice in bytecode. Ecco perché Java è un software “agnostico” ed “indipendente”.
Ok, ma a me interessa?
Diciamo che ad oggi più di due miliardi di oggetti (in applicazioni aziendali, siti web e app mobile) utilizzano Java e molti di questi hanno un sistema di logging di tipo Apache log4j.
Un sistema di logging è un sistema di monitoraggio che la applicazioni hanno insito per poter raccogliere informazioni e sorvegliare lo stato dell’applicazione, eventuali errori o malfunzionamenti.
Log4j è una delle librerie più utilizzate in quanto genera file di log (risaputamene molto lunghi e poco intellegibili a chi non è addetto ai lavori!) facilmente gestibili con un sistema di tagging (ricerca e sostituzione automatica di informazioni per tag o parola chiave) che agevola gli sviluppatori nella consultazione ed interpretazione della problematica.
Il tag tanto caro agli sviluppatori diventa punto d’attacco e gli sviluppatori… non dormono!
Come dicevamo. Un plus amato da chi sviluppa, diventa un punto d’attacco.
I malintenzionati sfruttano proprio questa bella funzione di tagging di Log4j. Si creano indisturbati un varco per “iniettare un tag infetto” che vada a manipolare le informazioni nella libreria secondo istruzioni malevole.
Il tag specifico è chiamato JNDI (Java Naming and Directory Interface) e può essere utilizzato per caricare codice da remoto. I malintenzionati possono quindi sfruttare questa falla per entrare, caricare ed eseguire codice malevolo o meglio definito malware. Lo scopo è di ottenere un accesso, una porta aperta, nel tempo. Una volta ottenuto l’accesso cercheranno di colpire dati sensibili, sottrarli o generare attacchi di tipo “ransomware” (sottrazione o distruzione di dati e restituzione – spesso fasulla o incompleta – solo dietro riscatto, spesso in bitcoin).
I rischi legati a Log4J
Anche log4j come tutte le minacce ed exploit è in cerca di server vulnerabili. Il loro obiettivo è sfruttare le vulnerabilità e le falle sulla rete così da introdursi sulle macchine target (quelle individuate dalla “scansione e rilevate come “deboli”) e inviare codice malevolo.
Chi è coinvolto
Dato il largo uso della libreria, al momento sono coinvolte le aziende tanto quanto i privati. Chi se la passa peggio sono gli sviluppatori, i cryptominers (mining deriva dal termine inglese “to mine” ossia estrarre come da una miniera. In questo caso parliamo di una minera di criptovaluta) e i gestori di botnet (reti usate per il calcolo distribuito e per studiare la diffusione del malware).
Cosa fare
- La prima cosa da fare sui vostri sistemi è aggiornare Java così da applicare la patch il prima possibile, per mitigare il rischio.
- Microsoft ha rilasciato una guida di pronto soccorso per sistemi Windows :
Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation - In rete sono presenti servizi open-source anche per effettuare un penetration-test ma consigliamo di appoggiarsi ad un supporto IT.
Cosa chiedere al vostro IT (portategli un caffè lungo con biscotti!)
- Il Swiss Government Computer Emergency Response Team ha pubblicato alcune indicazioni sulle azioni di mitigazione della vulnerabilità Log4Shell che trovate qui
- Il CSIRT Italia (Computer Security Incident Response Team ) ha rilasciato queste.
Certi di averti fornito informazioni utili ti ringraziamo per essere arrivato sino a qui e siamo felici di confermarti che ci siamo e ci preoccupiamo della tua sicurezza!
Per qualsiasi cosa non esitare a contattare il nostro team d’assistenza