Durante il fine settimana, è stata segnalata una vulnerabilità di sicurezza molto grave nel logging framework log4j basato su Java (CVE-2021-44228), che viene al momento attivamente utilizzata. Questa anomalia è nota anche come “log4shell” e fornisce un vettore per l’esecuzione di codice remoto.
La sicurezza è una priorità assoluta per MPS Monitor, quindi abbiamo esaminato con attenzione la nostra infrastruttura per valutare la nostra esposizione a questa vulnerabilità e per assicurarci di continuare a mantenere un ambiente sicuro per i Dealer che usano la nostra piattaforma e i loro clienti.
A seguito di questa valutazione completa ed estesa, possiamo affermare che MPS Monitor non è impattata da alcun rischio dovuto a questa vulnerabilità.
Più in dettaglio:
- Tutti i nostri servizi Cloud e lato server sono basati su .NET. Non utilizziamo log4j e pertanto nessun sistema server, processo o servizio è interessato.
- MPS Monitor Windows DCA è basato su .NET e non utilizza Java in nessuna parte della sua base di codice. Log4j non è presente in alcun modo nel pacchetto software Windows DCA.
- Su alcune versioni dei DCA Embedded, utilizziamo Java e Log4J. Le versioni di Embedded DCA che utilizzano Java sono:
o Samsung Embedded DCA
o Kyocera Embedded DCA
Su tali applicazioni, abbiamo effettuato controlli approfonditi e possiamo confermare che la versione di Log4J che utilizziamo non è tra quelle interessate dalla vulnerabilità.
Abbiamo inoltre verificato che le classi e le funzioni che possono essere sfruttate dalla vulnerabilità non sono presenti in nessuna delle versioni Embedded attualmente distribuite né nelle versioni precedenti.
- Per i clienti HP che utilizzano MPS Monitor con HP Smart Device Services e per i clienti HP SDS Action Center, Java e Log4j non vengono utilizzati in JAMC né in nessun altro componente SDS.
Possiamo dunque ufficialmente affermare che CVE-2021-44428 non pregiudica in alcun modo la sicurezza del sistema MPS Monitor. Non è necessaria alcuna azione da parte dei clienti MPS Monitor né da parte nostra a causa di questa vulnerabilità.
I Dealer che stanno utilizzando MPS Monitor per gestire i dispositivi di stampa dei loro clienti, possono inoltrare loro questo messaggio e dare loro la massima tranquillità sul livello di sicurezza fornito dal sistema di gestione remota.
Per saperne di più sulla posizione generale di sicurezza di MPS Monitor, è possibile leggere il white paper MPS Platform Security di Keypoint Intelligence:
https://www.mpsmonitor.com/docs/MPSMonitor_PlatformSecurity.pdf