In questi giorni, tutti noi stiamo affrontando la tempesta scatenata dalla vulnerabilità individuata in Log4j.

Per questo motivo vogliamo rassicuravi:

nessun servizio o prodotto di Nethesis è affetto dalla vulnerabilità denominata “Log4Shell” (o CVE-2021-44228).

Entrando nel dettaglio:

• NethSecurity e NethVoice non fanno uso di componenti Java;
• NethService contiene un prodotto che utilizza Java, ovvero WebTop.
  Tuttavia, WebTop non utilizza il componente Log4j, pertanto non è affetto dalla vulnerabilità;
• l’infrastuttura pubblica di Nethesis non utilizza componenti Java, pertanto non è affetta dalla vulnerabilità;
• le istance NethMeet utilizzano una versione di Jitsi non affetta dalla vulnerabilità;

Il CVE in oggetto si riferisce solo alla versione 2 di Log4j, ma recenti analisi hanno rilevato che anche Log4j versione 1 è affetto da una vulnerabilità simile ma molto più difficile da sfruttare.

Anche in questo caso, nessun prodotto Nethesis utilizza la libreria Log4j 1.x.

In alcune vecchie installazioni, il pacchetto log4j-1.2.17-16.el7_4.noarch potrebbe essere installato a causa di una dipendenza derivante da una precedente versione di Tomcat usato per WebTop. Non è necessario rimuovere il pacchetto, ma se voleste farlo, il comando da eseguire è:

yum -y --noplugins remove log4j

Segnaliamo inoltre che l’IPS di NethSecurity è già in grado di rilevare alcuni attacchi mirati a Log4j.

Si consiglia di abilitare l’IPS con la categoria "Exploit" per proteggere eventuali sistemi non-Nethesis esposti in rete, dietro ad un firewall NethSecurity.

Un’ulteriore protezione, è l’attivazione di Threat Shield con le liste fornite da Yoroi che sta attivamente monitorando gli attacchi dal 10 Dicembre 2021.

Qualora si abbia installato su NethServer software di terze parti, invitiamo a fare riferimento al sito del produttore del software per sapere come mettere in sicurezza l'infrastruttura.