Logo di Slack su sfondo semplice
Notizie

Aggiornamento sulla vulnerabilità di Apache Log4j2

Il team di Slack21 dicembre 2021

AGGIORNAMENTO: Abbiamo ora ricevuto conferma che tutti i fornitori di terze parti hanno applicato le patch per risolvere i problemi correntemente identificati in CVE-2021-44228 e CVE-2021-45046.

Un rapido riepilogo

Il 9 dicembre 2021 siamo venuti a conoscenza di una vulnerabilità di livello critico in Log4j, una libreria Java di Apache Software Foundation, descritta in CVE-2021-44228. Poco tempo dopo, siamo venuti a conoscenza di CVE-2021-45046, che interessa sempre Log4j. Slack, come molti servizi basati su cloud, usa Log4j per elaborare i log.

Abbiamo immediatamente intrapreso i passi necessari per valutare la nostra infrastruttura e le applicazioni client e per effettuare aggiornamenti mirati a mitigare l’impatto della vulnerabilità. Abbiamo completato la mitigazione iniziale di CVE-2021-44228 il 13 dicembre 2021 e la mitigazione per CVE-2021-45046 il 17 dicembre. Al 17 dicembre 2021, abbiamo applicato tutte le patch e le misure di mitigazione necessarie ai servizi di produzione di Slack vulnerabili ai problemi correntemente identificati in CVE-2021-44228 e CVE-2021-45046 e stiamo eseguendo i passaggi di convalida finali.

Chi è stato interessato?

Non abbiamo ancora completato l’analisi sull’impatto. Per tutte le vulnerabilità che mettono a rischio il servizio Slack.com e i dati dei clienti, conduciamo un’indagine per stabilire se la vulnerabilità è stata sfruttata da criminali informatici per ottenere l’accesso ai dati dei clienti. Tale indagine è in corso per CVE-2021-44228 e CVE-2021-45046 e può essere richiesto del tempo per completarla. Se rileveremo che i dati di un cliente sono stati compromessi a causa di questa vulnerabilità, lo contatteremo tempestivamente.

Cos’altro deve fare Slack?

Stiamo ancora verificando di aver intrapreso tutte le azioni necessarie nel processo di mitigazione, garantendo che le misure di mitigazione temporanee vengano rese permanenti e investigando per stabilire se c’è stato un impatto sui dati dei clienti durante il periodo di vulnerabilità di Slack.

[Nota dell'editor: lo stato dei fornitori di terze parti è ora stato confermato, vedi l'aggiornamento in alto.] Inoltre, stiamo ancora aspettando conferma da alcuni fornitori che ai loro sistemi siano state applicate tutte le patch richieste. Continueremo a monitorare gli sviluppi relativi alle vulnerabilità di Log4J e se necessario ad aggiornare le misure di mitigazione.

Cosa devo fare?

Se applicabile, consigliamo ai clienti di investigare i rischi relativi alle integrazioni Slack (vedi sotto). Il servizio Slack è stato aggiornato sul back-end. I clienti non devono aggiornare i propri client, che non usavano Log4j, o apportare alcuna modifica per ricevere le patch e le misure di mitigazione implementate per proteggere il servizio Slack.

Per chi richiede ulteriori dettagli

Per rispondere a tali vulnerabilità, abbiamo ispezionato i nostri server negli ambienti operativi aziendali, di produzione e di sviluppo, i nostri repository di codice e i processi di produzione in esecuzione per individuare tutti i potenziali utilizzi di Log4j. Abbiamo usato questi dati per compilare un elenco di tutti i servizi potenzialmente vulnerabili e iniziato ad applicare patch o workaround per mitigare il potenziale impatto del problema. In questo momento sono in atto misure di mitigazione per il servizio Slack in linea con le raccomandazioni di CVE-2021-44228 e CVE-2021-45046. Stiamo continuando a valutare il potenziale impatto di queste vulnerabilità man mano che vengono fornite nuove informazioni.

Mentre l’API e il servizio Slack elaborano i dati usando Log4j, i client Slack per dispositivi mobili e desktop non sono stati interessati da queste vulnerabilità poiché non utilizzano Log4j.

Non siamo in grado di valutare l’effetto di queste vulnerabilità sui provider di servizi nella nostra App Directory. Questi provider di servizi potrebbero o non potrebbero usare Log4j. Per maggiori informazioni contatta direttamente i provider di servizi usando il link “Ottieni assistenza” nell’elenco dell’app nell’App Directory di Slack.

Se hai creato delle integrazioni che interagiscono con i dati in Slack (ovvero “integrazioni personalizzate”), dovresti esaminare le implicazioni possibili sul tuo utilizzo di Log4j per assicurarti che:

  • È responsabilità di Slack proteggere i dati che scrivi IN Slack tramite queste integrazioni personalizzate e i server di Slack sono stati aggiornati per mitigare le vulnerabilità di Log4j, come da informazioni fornite sopra.
  • I dati che leggi DA Slack e fornisci alla tua infrastruttura presentano un rischio minore se tutti i dati dell’area di lavoro di Slack provengono da origini affidabili.
  • Tuttavia, se alcune origini che non ritieni completamente affidabili postano dati nella tua area di lavoro di Slack, dovresti accertarti immediatamente che a tutte le infrastrutture che ospiti e che supportano il logging tramite Log4j siano state applicate le patch e tutti gli aggiornamenti necessari.

Cos’altro devo sapere?

Sono disponibili varie fonti valide per ottenere informazioni di background sulla libreria Log4j e i relativi problemi. Per coloro che desiderano ulteriore contesto, consigliamo:

Per domande di tipo tecnico, contatta i membri del team di assistenza di Slack. Saranno lieti di creare un caso.

    Questo post è stato utile?

    0/600

    Fantastico!

    Grazie mille per il feedback!

    Capito!

    Grazie per il feedback!

    Ops! Si è verificato un problema. Riprova più tardi.