Op vrijdag 10-12-2021 is een kwetsbaarheid gepubliceerd in Apache Log4j2 < 2.14.1 waar geen patch voor beschikbaar was, een zogenoemde 0-day. Deze kwetsbaarheid is dermate ernstig dat succesvol misbruik kan leiden tot Remote Code Execution.
Youforce
Na het publiceren van de kwetsbaarheid is op 10 december direct door Visma Security een inventarisatie gedaan van Youforce systemen die Java en/of Log4j gebruiken. Uit deze inventarisatie is naar voren gekomen dat Youforce applicaties géén gebruik maken van kwetsbare Log4j libraries.
Leveranciers
Naast het inventariseren van onze eigen Youforce platform maken wij ook gebruik van leveranciers. Zodra leveranciers een advisory plaatsen met een update of workaround voor hun product volgen wij die na interne beoordeling op. Zo hebben wij afgelopen weekend direct een update uitgevoerd voor Ping Identity zodra deze beschikbaar was.
Vervolgstappen
Om het risico nog verder te mitigeren hebben we onder andere een detectie-regel in onze eigen security monitoring toegevoegd om pogingen tot misbruik van CVE-2021-44228 automatisch te detecteren en blokkeren. Verder is door onze security partners (Qualys, Tenable, Fox-IT, F5 & Visma CSIRT) al gecommuniceerd dat ook zij actieve detectie-regels hebben ingericht tegen misbruik van deze kwetsbaarheid.
Door alle mitigerende acties is het Youforce platform niet kwetsbaar voor de Log4j/Log4Shell kwetsbaarheid.
Uiteraard blijven wij de situatie monitoren en nemen wij direct actie waar dat nodig is.
Visma Denemarken
Visma Finland
Visma Letland
Visma Nederland
Visma Noorwegen
Visma Zweden
Visma Developers & Partners
Visma Latijns-Amerika