Nota del redattore:
Con tutte le minacce che affrontano oggi le organizzazioni IT, è facile trascurare una delle fonti meno ovvie di exploit di sicurezza: i vostri sottosistemi di stampa. In LRS, sappiamo che i documenti aziendali guidano innumerevoli processi aziendali. Di conseguenza, i dispositivi di stampa e i server di stampa rappresentano una superficie di attacco allettante per gruppi di hacker e fornitori di malware.
Microsoft e l’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) stanno segnalando che un gruppo di hacker russo chiamato APT28 sta attivamente distribuendo uno strumento chiamato in codice GooseEgg che sfrutta una vulnerabilità nota nel servizio Spooler di stampa di Microsoft Windows (tracciata come CVE-2022-38028). Questa vulnerabilità consente agli hacker di ottenere privilegi di sistema su un computer non aggiornato.
Il modo più semplice per evitare i danni causati da questi e altri exploit è seguire alcune pratiche IT di buon senso delineate dal mio collega Guy Tucker durante l'attacco PrintNightmare di alcuni anni fa. I suoi consigli, riportati qui nella loro interezza, sono validi oggi come nel 2021, quando questo articolo è stato originariamente pubblicato.
Ogni anno ricevo sempre più domande sulla reale minaccia delle vulnerabilità e delle esposizioni comuni, o CVE in breve. Leggo ogni giorno di grandi aziende che vengono bloccate da ransomware, Trojan o virus. Gli individui sono preoccupati. Le aziende sono preoccupate. Gli ospedali e i governi sono preoccupati. E naturalmente, anche le aziende di software sono preoccupate.
Proprio questa settimana, il mondo ha appreso di un exploit chiamato vulnerabilità log 4j CVE-2021-44228. Con questo exploit, un semplice meccanismo di logging può consentire a un hacker di inserire il proprio codice in un processo ed eseguirlo da remoto. Questo è davvero spaventoso. Secondo la descrizione del CVE, semplicemente scrivendo una riga di testo in un log si può aprire la porta. I prodotti software devono scrivere voci di registro per molte ragioni legittime, quindi la natura di questo exploit lo rende difficile da rilevare e difficile da prevenire.
La buona notizia è che i prodotti LRS non sono vulnerabili a CVE-2021-44228, offrendo ai nostri clienti una preoccupazione in meno. Una fortuna, dato che ci sono molti altri sistemi critici che dovranno proteggere.
Le aziende di software proteggono costantemente contro gli attacchi malware di ogni tipo. Gli sviluppatori di LRS sono molto consapevoli dei percorsi di vulnerabilità e adottano una serie di misure per evitare di diventare bersagli di exploit dannosi. Alcune di queste misure includono:
- Seguire le migliori pratiche di settore quando si scrive il codice del prodotto, come l'uso della crittografia a riposo e in transito per tutti i dati inter-processo.
- Utilizzare software di alta qualità per scansionare il nostro codice sorgente ed evitare insidie.
- Adottare il modello BSIMM (Building Security In Maturity Model) per lo sviluppo e la maturità della sicurezza dei sistemi.
- Effettuare scansioni e test dinamici, statici e di penetrazione continui durante il processo di sviluppo.
- Adottare metodi Zero-Trust di trasporto per garantire la sicurezza.
- Evitare i meccanismi di spooling della stampa del sistema operativo, che sono altamente suscettibili sia agli attacchi che ai fallimenti (PrintNightmare e molti altri).
- Monitorare costantemente gli exploit segnalati per assicurarsi che le nostre pratiche siano efficaci.
Ci sono molti passi che potete intraprendere per aiutare voi stessi e la vostra azienda in questo ambito. La maggior parte di questi li avrete già sentiti nominare, ma non fa mai male ricordarli ad altri nella vostra comunità IT e tra gli utenti. Per seguire le migliori pratiche del settore, assicuratevi di:
- Non aprire mai un allegato da una fonte che non conoscete.
- Rimanere sempre aggiornati con le patch del sistema operativo.
- Mantenere i vostri prodotti LRS (e non LRS) il più possibile aggiornati.
- Considerare l'adozione di metodi Zero-Trust nella vostra organizzazione.
Un approccio più proattivo da considerare è una valutazione della sicurezza da parte di una società di servizi esterna. Uno di questi fornitori di sicurezza è LRS IT Solutions, specificamente la loro offerta Foundational Cyber Risk Analysis (Analisi del Cyber Rischio Fondamentale). Dalla scansione delle vulnerabilità alla configurazione del firewall e ai test di penetrazione, sono pronti ad agire come consulenti esterni di fiducia.
La stampa può essere una sfida in un ambiente Zero Trust, ma LRS possiede gli strumenti e l'esperienza per renderlo una realtà. Considerando l'alternativa, vale sicuramente la pena compiere questo sforzo.