Vulnerabilità Log4j2: le PMI rischiano di andare in affanno
Se siete utenti Windows e andate spesso su siti di tecnologia e sicurezza, quasi sicuramente avrete letto della vulnerabilità Log4j2 che ha preso d’assalto Internet, letteralmente e figurativamente. Mentre le grandi aziende hanno sviluppatori di applicazioni che sanno quale codice hanno usato e quindi sanno con precisione dove la loro azienda potrebbe essere vulnerabile, cosa succede se nel caso di una PMI senza tali risorse?
Innanzitutto, spieghiamo cos’è Log4j: un framework di registrazione che gli sviluppatori utilizzano per creare ciò di cui hanno bisogno nel loro software. È stato scritto in Java, concesso in licenza per l’uso da parte di chiunque ed è generalmente utilizzato in software open source. La vulnerabilità è stata segnalata per la prima volta dall’Alibaba Cloud Security Team e una correzione era in lavorazione quando i giocatori di Minecraft hanno scoperto che alcune stringhe di codice inserite in una finestra di chat potevano attivare un’esecuzione di codice remoto.
Mentre Microsoft ha riparato i server di gioco di Minecraft, è stato presto chiaro che il problema andava oltre i server cloud e che poteva interessare anche le applicazioni aziendali. Sebbene ci siano risorse governative disponibili per le aziende più grandi, la situazione per le PMI e per i singoli utenti è decisamente più complessa.
Ecco i miei consiglio per chi si chiede come potrebbe essere colpito da questa vulnerabilità.
Tanto per cominciare, se eseguite Windows e utilizzate Microsoft Office base, dovreste essere a posto. I prodotti Microsoft base non sono vulnerabili. Questo è un software basato su Apache che non è installato nativamente su Windows, specialmente per gli utenti domestici. Se poi utilizzate app nel cloud che si basano su Log4j2, saranno i fornitori ad aggiornare ad applicare le patch ai loro prodotti.
La vulnerabilità potrebbe essere invece in agguato in molti tipi di dispositivi inclusi router, firewall, stampanti o altro hardware IoT non basato su Windows. Sta a voi stabilire se siete vulnerabili. Dovrete infatti pensare a come questi dispositivi si connettono alla vostra rete interna e se sono esposti all’esterno.
Molte persone non si rendono conto che tali dispositivi sono esposti online fino a quando non accade qualcosa di brutto. Le stampanti, ad esempio, sono spesso configurate per avere la stampa internet-based abilitata. Anche se poter stampare su qualsiasi dispositivo da qualsiasi luogo è una cosa utilissima, espone anche tali dispositivi a diversi rischi di sicurezza. Dovete quindi ricordarvi sempre, per ogni vostro dispositivo che vuole accedere “da qualsiasi luogo”, di pensare a cosa potrebbe portare quell’accesso alla vostra piattaforma. Se utilizzate funzionalità di questo tipo, assicuratevi di impostare le restrizioni appropriate quando scegliete l’autenticazione o aggiungete l’autenticazione a due fattori.
Se siete una piccola impresa, la probabilità che abbiate software vulnerabile all’interno della vostra rete Windows aumenta un po’ se avete installato SQL Server. Se voi o i vostri fornitori avete installato un modulo di registrazione basato su Java, questo potrebbe includere la vulnerabilità. La soluzione migliore in questo caso è vedere se avete un’istanza SQL installata sui vostri server e contattare i vostri fornitori per ricevere assistenza. Se un consulente vi aiuta di solito con la vostra rete, chiedete aiuto, mentre se siete voi stessi un consulente, rivolgetevi ai colleghi e ai fornitori di strumenti di gestione per identificare eventuali software che necessitano di patch.
Per le aziende con meno di 300 dipendenti, un modo per monitorare e verificare se si è a rischio è registrarsi per un’anteprima di Microsoft Defender for Business. Con questa console basata su cloud, potete controllare e monitorare le workstation che potrebbero essere vulnerabili. Se usate qualcos’altro per monitorare e scansionare i virus, contattate il relativo fornitore per vedere se si sta attivando in modo proattivo per cercare la vulnerabilità.
Vi consiglio inoltre di analizzare con attenzione la lista dei software sul sito di CISA per vedere se avete e utilizzate uno dei software elencati. Inoltre, è disponibile online un’eccellente guida per rintracciare il software interessato; nel mio caso, ad esempio, ho visto che le stampanti Ricoh che utilizzo da anni non sono vulnerabili.
A questo punto rintracciate altri dispositivi che condividono la stessa connessione Internet della vostra rete. Se non siete sicuri della loro sicurezza e non è necessario che condividano la stessa rete dei vostri dispositivi aziendali, configurate per loro una rete separata. Assicuratevi che non si trovino sullo stesso intervallo IP delle risorse aziendali e ricordate che tutti i dispositivi IoT dovrebbero essere su una propria rete dedicata.