Back to top

Come una vulnerabilità di un plugin può compromettere un’intera applicazione: l’esempio di un package NPM

Un bug di sicurezza su un singolo pacchetto può impattare su migliaia di progetti

Per più di 9 anni una grave vulnerabilità all’interno di un package NPM, Netmask, è rimasta nascosta e se opportunamente sfruttata avrebbe potuto permettere ad un hacker di ottenere una Server-Side Request Forgery(SSRF) nelle applicazioni di tipo downstream( per es. Netflix), in sostanza avrebbe potuto ottenere il controllo completo dell’applicazione e dei server. Più di 279.000 progetti open source, in cui Netmask è installato, hanno rischiato grosso.

La particolarità della vulnerabilità

Questa tipologia di vulnerabilità è un grande reminder delle enormi ripercussioni che potrebbe avere un grave bug di sicurezza in un solo componente open source su migliaia di progetti. Normalmente, grazie all’introduzione di metodologie e strumenti di CI/CD, tutti i package vengono automaticamente scaricati ed installati senza alcuna ispezione da parte di alcuno, di fatto esponendo automaticamente l’applicazione ad eventuali problemi di sicurezza.

Seppur questo evento possa generare preoccupazione in chi utilizza pacchetti open source, realmente il problema esiste per chiunque faccia utilizzo di software senza avere la possibilità di ispezionarlo, vale a dire il 99,9% delle persone. Ed allora come difendersi? Gli stati come l’Italia si possono permettere di realizzare un Centro di valutazione e certificazione nazionale (CVCN) per verificare le vulnerabilità di qualsiasi prodotto che debba essere utilizzato nelle infrastrutture strategiche. E le aziende quali possibilità hanno?

Garantire la sicurezza dei dati

Nell’impossibilità di verificare ogni singolo prodotto software che utilizzi, ciò che deve guidarti è il garantire la sicurezza dei dati salvaguardandoli con infrastrutture che implementano ridondanza, alta affidabilità e security by design. Contattaci subito e senza impegno per ottenere un tale infrastruttura.

Garantire la sicurezza dei dati vuol dire anche implementale policy e procedure che ti consentano, in caso di un attacco, di poter affermare e dimostrare di “aver fatto tutto il possibile” perchè è proprio il non aver adottato tali policy e procedure che viene sanzionato, per es. dal Garante della Privacy. Contattaci subito e senza per implementare le policy e procedure corrette.

Dal punto di vista del software, essere continuamente aggiornati rimane un must, ma per evitare di dover “stare dietro” a qualsiasi tool è necessario spostare e migrare servizi tradizionali verso servizi Cloud Native e Serverless così da mitigare e trasferire i rischi. Contattaci subito e senza impegno per migrare su piattaforme Cloud Native e Serverless.

Glue Labs e la sicurezza dei dati

Siamo Google Cloud Partner e ti supportiamo ed assistiamo nel garantire la sicurezza dei dati che gestisci attraverso consulenza professionale ed attività di Ethical Hacking e migrazione su piattaforme Cloud affidabili e sicure. Grazie all’esperienza con numerosi Clienti e ad un solido gruppo aziendale possiamo essere il tuo partner ideale per qualsiasi progetto. Contattaci subito e senza impegno per maggiori informazioni.

Casi di Successo

Il leader mondiale in sistemi di controllo di impianti refrigeranti, umidificazione e aereazione presente in 75 paesi usa le nostre soluzioni Web Application e System Integration per selezionare le componenti industriali e fornire documentazione tecnica in ambiente controllato e sicuro.

Inizia ora il tuo progetto

CONTATTI

Scrivici dal form di contatto

Tel +39 06 56549766
Fax +39 06 21122581

Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove Siamo
Roma: Piazza Don Sturzo 15
Padova: Via Savonarola 217
Milano: Via Lazzaretto 19
Torino: Via V. Amedeo II 6

    Nome*

    E-mail*

    Telefono(per un contatto più rapido)

    Come possiamo aiutarti?

    Altro che vuoi dirci?

    Inviando i tuoi dati accetti le condizioni sulla privacy. Li useremo per rispondere alle tue domande e richieste.

    TOP