Per più di 9 anni una grave vulnerabilità all’interno di un package NPM, Netmask, è rimasta nascosta e se opportunamente sfruttata avrebbe potuto permettere ad un hacker di ottenere una Server-Side Request Forgery(SSRF) nelle applicazioni di tipo downstream( per es. Netflix), in sostanza avrebbe potuto ottenere il controllo completo dell’applicazione e dei server. Più di 279.000 progetti open source, in cui Netmask è installato, hanno rischiato grosso.
La particolarità della vulnerabilità
Questa tipologia di vulnerabilità è un grande reminder delle enormi ripercussioni che potrebbe avere un grave bug di sicurezza in un solo componente open source su migliaia di progetti. Normalmente, grazie all’introduzione di metodologie e strumenti di CI/CD, tutti i package vengono automaticamente scaricati ed installati senza alcuna ispezione da parte di alcuno, di fatto esponendo automaticamente l’applicazione ad eventuali problemi di sicurezza.
Seppur questo evento possa generare preoccupazione in chi utilizza pacchetti open source, realmente il problema esiste per chiunque faccia utilizzo di software senza avere la possibilità di ispezionarlo, vale a dire il 99,9% delle persone. Ed allora come difendersi? Gli stati come l’Italia si possono permettere di realizzare un Centro di valutazione e certificazione nazionale (CVCN) per verificare le vulnerabilità di qualsiasi prodotto che debba essere utilizzato nelle infrastrutture strategiche. E le aziende quali possibilità hanno?
Garantire la sicurezza dei dati
Nell’impossibilità di verificare ogni singolo prodotto software che utilizzi, ciò che deve guidarti è il garantire la sicurezza dei dati salvaguardandoli con infrastrutture che implementano ridondanza, alta affidabilità e security by design. Contattaci subito e senza impegno per ottenere un tale infrastruttura.
Garantire la sicurezza dei dati vuol dire anche implementale policy e procedure che ti consentano, in caso di un attacco, di poter affermare e dimostrare di “aver fatto tutto il possibile” perchè è proprio il non aver adottato tali policy e procedure che viene sanzionato, per es. dal Garante della Privacy. Contattaci subito e senza per implementare le policy e procedure corrette.
Dal punto di vista del software, essere continuamente aggiornati rimane un must, ma per evitare di dover “stare dietro” a qualsiasi tool è necessario spostare e migrare servizi tradizionali verso servizi Cloud Native e Serverless così da mitigare e trasferire i rischi. Contattaci subito e senza impegno per migrare su piattaforme Cloud Native e Serverless.
Glue Labs e la sicurezza dei dati
Siamo Google Cloud Partner e ti supportiamo ed assistiamo nel garantire la sicurezza dei dati che gestisci attraverso consulenza professionale ed attività di Ethical Hacking e migrazione su piattaforme Cloud affidabili e sicure. Grazie all’esperienza con numerosi Clienti e ad un solido gruppo aziendale possiamo essere il tuo partner ideale per qualsiasi progetto. Contattaci subito e senza impegno per maggiori informazioni.