HANCHUESS ha sempre dato priorità all'esperienza dei propri utenti e per questo motivo abbiamo dovuto sospendere temporaneamente i microservizi della piattaforma digitale coinvolti per un giorno e si è verificato un problema di impossibilità di accesso da parte degli utenti; ci scusiamo per il disagio causato ai nostri utenti.
Da allora, il nostro team è intervenuto immediatamente per risolvere il problema, che ora è stato risolto. Dopo aver indagato, abbiamo scoperto che il problema era dovuto a una vulnerabilità di versioning nel componente di logging Log4j2 fornito da Apache. Esiste una vulnerabilità nell'esecuzione di codice in modalità remota quando Apache Log4j versione 2.x <= 2.14.1. Esiste una falla di JNDI injection nel componente Log4j2 durante l'elaborazione dei record di log del programma, il ricevitore non viene filtrato per l'input da fonti inaffidabili e un utente non autorizzato potrebbe utilizzare questa vulnerabilità per inviare dati dannosi accuratamente creati al server di destinazione, innescando una falla nel parsing del componente Log4j2, consentendo l'esecuzione di codice arbitrario sul server di destinazione, ottenendo l'accesso al server di destinazione e infine innescando l'esecuzione di codice remoto. Se si esegue l'aggiornamento alla versione più recente, questo problema non si verificherà.
Per quanto riguarda gli aggiornamenti dei componenti, FruitNext è stato corretto e testato internamente per garantire che tali problemi non si verifichino di nuovo. A partire dal 29 marzo 2022, tutti i servizi relativi alla piattaforma digitale sono stati ripristinati. Ci scusiamo ancora una volta per l'impatto che questo problema ha avuto sui nostri utenti.

2022-03-28, INIZIALE
2022-03-29, aggiornamento versione software

HANCHUESS dà il benvenuto agli esperti di sicurezza e ai team di ricerca per unirsi al nostro programma di divulgazione delle vulnerabilità (VDP). HANCHUESS si impegna ad assumersi la responsabilità della sicurezza dei propri utenti in tutto il mondo, affinché possano godere di una vita intelligente sicura e affidabile.
Per le vulnerabilità di sicurezza divulgate in questa pagina, HANCHUESS non implica alcun tipo di garanzia, esplicita o implicita, comprese le garanzie di commerciabilità o di idoneità per uno scopo particolare o di non violazione. L'utente è consapevole che le informazioni sulla divulgazione delle vulnerabilità servono solo a fornire un riferimento per valutare il rischio di sicurezza e prendere decisioni appropriate. L'uso del documento, con qualsiasi mezzo, sarà totalmente a rischio dell'utente. In nessun caso HANCHUESS sarà responsabile di danni di qualsiasi tipo, compresi quelli diretti, indiretti, incidentali, consequenziali, perdita di profitti commerciali o danni speciali.