Log4Shell sta aprendo una breccia sui sistemi digitali di tutta la rete.
Software e applicazioni scritti con Java, il linguaggio di programmazione più utilizzato al mondo, rischiano di compromettere la sicurezza di server, dispositivi aziendali e smartphone personali.
La falla risiede in Log4j, un framework di una libreria log molto nota e utilizzata la cui funzione è quella di tenere traccia delle attività eseguite all’interno delle applicazioni.
Il problema è di dimensioni mondiali, poiché la libreria sotto attacco trova ampio utilizzo nei sistemi aziendali e nelle applicazioni web attraverso le quali i criminali informatici possono ora prendere il controllo dei sistemi vulnerabili da remoto senza particolari competenze tecniche. Nella scala di valutazione della vulnerabilità CVSS, infatti, Log4Shell è stata valutata con il punteggio di 10, il massimo. Questa falla, inoltre, sta aprendo la strada allo sviluppo di strumenti in grado sfruttare il bug per diffondersi automaticamente e indipendentemente tra un sistema vulnerabile e un altro.
Il rischio, nel concreto, è di subire furti di credenziali e installazioni inconsapevoli di malware e ransomware.
La vulnerabilità è stata ormai sfruttata attivamente e ad essere colpite sono tutte le aziende che non hanno installato le versioni aggiornate degli applicativi.
Pertanto, i singoli utenti possono solamente lanciare l’installazione dei vari servizi online nel momento in cui vengono rilasciati, mentre sta alle aziende valutare il proprio livello di esposizione quanto prima e implementare le opportune correzioni.
Consigliamo a chi lavora in ambienti contenenti Log4j di effettuare l’aggiornamento all’ultima versione il prima possibile.
Gli applicativi Hunext
Abbiamo svolto un assessment interno dei nostri applicativi per assicurarci di non essere affetti dalla minaccia. I software di Hunext non utilizzano direttamente librerie Java tanto meno log4j, pertanto il rischio di vulnerabilità è marginale. Nonostante i nostri software non soffrano direttamente del problema manteniamo costante il monitoraggio dei nostri sistemi e dei nostri servizi.
| Prodotto/componente | Stato | Note |
|---|---|---|
| Hunext Ufficio Web | Non affetto | |
| Hunext Paghe | Non affetto | |
| Hunext Presenze | Non affetto | |
| Hunext Risorse Umane | Non affetto | |
| Hunext Controllo Accessi | Non affetto | |
| Hunext Budget | Non affetto | |
| Hunext Gestione Cooperative | Non affetto | |
| Hunext Gestione Mensa | Non affetto | |
| Hunext Gestione Visitatori | Non affetto | |
| Hunext License Server | Non affetto | |
| Hunext Gestione Privacy | Non affetto | |
| Hunext Mobile App | Non affetto | |
| Hunext SyncService | Non affetto | Sync data service utilizzato in alcuni prodotti |
| Timb Terminal Backend | In monitoraggio | Non utilizza la libreria Log4j |
| DevExpress | Non affetto | Componenti di terze parti utilizzate in alcuni prodotti |
| Microsoft Sql Server | Non affetto | Database engine utilizzato in alcuni prodotti |
| Crystal Report | Non affetto | Componenti di terze parti utilizzate in alcuni prodotti |
