Mine områder
Hjelp

Sårbarhet i Apache Log4j

av Stian Estil (Oppdatert ‎17-12-2021 11:29 av Stian Estil VISMA )

Oppdatering 17.12 kl. 11:23

Vi får stadig spørsmål om vi kan bekrefte at dette også gjelder produkt x og y. De produktene som ikke er spesielt angitt har ikke vært berørt, og det er allerede kommunisert. Men for ordens skyld. De produktene som har vært berørt fordi de benyttet en versjon av programvaren med sårbarheten, men som ble fixet i en tidlig fase, og er kommentert tidligere er:

 

Visma.net Autopay

Visma.net AutoInvoice

Visma.net Approval

 

De produktene som ikke har vært berørt, fordi de ikke benytter nevnte programvare, eller utgaver av nevnte programvare med kjent sårbarhet er:

 

Visma.net Payroll (inkludert Time, Calendar, Expense, Payslip)

Visma.net ERP

OSR

Visma Periode & ÅR

Visma Business Cloud

Visma Business productline

Visma Global productline

Visma Document Center

Visma Lønn

Bizweb

Visma Tid

Webfaktura

Finale

Total

VCG

 

Mange av disse er tillegg on-prem produkter som ikke er eksponert på Internet.

 

Hvis kunder benytter ikke supporterte og utgåtte utgaver av våre produkter så har vi IKKE noen oversikt over disse. Eksempelvis DI, Paperless, Scenario, Rubicon, Visma Reporting e.l. Det gjelder også versjoner av våre løsninger som er eldre 3 hovedversjoner. (gjelder da kun on-prem). Det er ingenting som tilsier at det er et problem, da de nevnte on-prem løsninger ikke benytter omtalte programvare, men vi gjør ingen aktiv kontroll på eldre versjoner uansett.

 

Vi bekrefter at vi ikke kjenner til at noen har utnyttet de kjente sårbarhetene. Visma sitt sikkerhetsgruppe er aktiv i fora i hele verden, og vi følger aktivt med på den videre utviklingen i denne saken siden den brer seg i omgang hver eneste dag. Vi fortsetter også å analysere og evaluere saken på tvers av hele Visma. I den grad det skulle tilkomme nye momenter så vil vi informere våre kunder om det.

 

Se også offisiell engelsk informasjon på https://www.visma.com/blog/log4shell-wide-spread-cyber-threat/

 

Oppdatering 08:50 14.12.2021

Vi har fått spørsmål om AutoInvoice er berørt. Svaret er ja, og sårbarheten er utbedret også der. Vi har et titalls produkter og underliggende tjenester, og vi lister ikke opp alle som er berørt. Det vi bekrefter er at alle analyser er ferdige, og at alle berørte tjenester er oppdatert. Vi bekrefter også at ingen kundedata er berørt av sårbarhetene.

 

Oppdatering 13:37 - 13.12.2021

Våre analyser og tiltak viser så langt at alle løsninger som er relevante for Visma Software sine kunder har blitt oppdatert, og at ingen har utnyttet sårbarhetene i omtalte 3part. Visma.net ERP core og Visma.net Payroll core benytter ikke nevnte 3part, og var derfor heller ikke i risikosonen. Artikkelen blir oppdatert videre, kun hvis det dukker opp ny relevant informasjon. Har du spørsmål så er det bare å benytte muligheten her på Visma Community.

 

Oppdatering 11:45 - 13.12.2021

Spørsmål fra kunder om dette påvirker VCG (Visma Cloud Gateway), linken mellom våre on-prem løsninger og våre skytjenester. Analysene vi har gjort tilsier at VCG ikke er berørt.

 

Oppdatering 11:13 - 13.12.2021

Jeg er litt imponert over hvordan "systemet" faktisk fungerer i praksis, når det blåser opp til storm. 

kl. 02:17 natt til fredag ble det slått alarm fra en av våre automatiske sikkerhetsmekanismer i Visma.net Approval. Visma CSIRT (Computer Incidence Security Response Team) varslet intern kl. 12:17. Våre sårbarhets scanning tjenester varslet samtidig om den samme saken. I tillegg gikk jungeltelegrafen internt. Kl. 13:12 hadde Visma.net Approval teamet indentifisert sårbarheten og tettet hullet i produksjon. Godt jobbet!

 

Oppdatering 10:56 - 13.12.2021

Fikk akkurat nå bekreftet fra Visma.net Autopay teamet at de i relasjon til meldingen under (10:50), allerede på fredag, 10.12, patchet og fixet sårbarheten. Well done!

 

Oppdatering kl. 10.50 - 13.12.2021

Visma sitt sikkerhetsteam (CSIRT) ble kjent med utfordringene allerede 10.12, og varslet alle utviklingsteam i Visma, med informasjon, analyser og utbedringsforslag.

 

Postet kl. 0930 - 13.12.2021

Vi har i dag fått flere forespørsler fra partnere og kunder vedrørende en nylig oppdaget sårbarhet i Apache Log4j, en tredjeparts software som benyttes av mange Software produsenter verden over.

 

Spørsmålet er hvordan den nyoppdagede sårbarheten påvirker Visma sine løsninger, og hva Visma gjør med saken. 

 

Vårt sikkerhets team er på saken, og denne artikkelen blir oppdatert så raskt som mulig.

 

Her er link til en av mange beskrivelser av sårbarheten som er oppdaget.

 

https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html

6 Kommentarer
Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"