Sårbarhet i Apache Log4j

Stian Estil · ‎13-12-2021

Oppdatering 17.12 kl. 11:23

Vi får stadig spørsmål om vi kan bekrefte at dette også gjelder produkt x og y. De produktene som ikke er spesielt angitt har ikke vært berørt, og det er allerede kommunisert. Men for ordens skyld. De produktene som har vært berørt fordi de benyttet en versjon av programvaren med sårbarheten, men som ble fixet i en tidlig fase, og er kommentert tidligere er:

Visma.net Autopay

Visma.net AutoInvoice

Visma.net Approval

De produktene som ikke har vært berørt, fordi de ikke benytter nevnte programvare, eller utgaver av nevnte programvare med kjent sårbarhet er:

Visma.net Payroll (inkludert Time, Calendar, Expense, Payslip)

Visma.net ERP

OSR

Visma Periode & ÅR

Visma Business Cloud

Visma Business productline

Visma Global productline

Visma Document Center

Visma Lønn

Bizweb

Visma Tid

Webfaktura

Finale

Total

VCG

Mange av disse er tillegg on-prem produkter som ikke er eksponert på Internet.

Hvis kunder benytter ikke supporterte og utgåtte utgaver av våre produkter så har vi IKKE noen oversikt over disse. Eksempelvis DI, Paperless, Scenario, Rubicon, Visma Reporting e.l. Det gjelder også versjoner av våre løsninger som er eldre 3 hovedversjoner. (gjelder da kun on-prem). Det er ingenting som tilsier at det er et problem, da de nevnte on-prem løsninger ikke benytter omtalte programvare, men vi gjør ingen aktiv kontroll på eldre versjoner uansett.

Vi bekrefter at vi ikke kjenner til at noen har utnyttet de kjente sårbarhetene. Visma sitt sikkerhetsgruppe er aktiv i fora i hele verden, og vi følger aktivt med på den videre utviklingen i denne saken siden den brer seg i omgang hver eneste dag. Vi fortsetter også å analysere og evaluere saken på tvers av hele Visma. I den grad det skulle tilkomme nye momenter så vil vi informere våre kunder om det.

Se også offisiell engelsk informasjon på https://www.visma.com/blog/log4shell-wide-spread-cyber-threat/

Oppdatering 08:50 14.12.2021

Vi har fått spørsmål om AutoInvoice er berørt. Svaret er ja, og sårbarheten er utbedret også der. Vi har et titalls produkter og underliggende tjenester, og vi lister ikke opp alle som er berørt. Det vi bekrefter er at alle analyser er ferdige, og at alle berørte tjenester er oppdatert. Vi bekrefter også at ingen kundedata er berørt av sårbarhetene.

Oppdatering 13:37 - 13.12.2021

Våre analyser og tiltak viser så langt at alle løsninger som er relevante for Visma Software sine kunder har blitt oppdatert, og at ingen har utnyttet sårbarhetene i omtalte 3part. Visma.net ERP core og Visma.net Payroll core benytter ikke nevnte 3part, og var derfor heller ikke i risikosonen. Artikkelen blir oppdatert videre, kun hvis det dukker opp ny relevant informasjon. Har du spørsmål så er det bare å benytte muligheten her på Visma Community.

Oppdatering 11:45 - 13.12.2021

Spørsmål fra kunder om dette påvirker VCG (Visma Cloud Gateway), linken mellom våre on-prem løsninger og våre skytjenester. Analysene vi har gjort tilsier at VCG ikke er berørt.

Oppdatering 11:13 - 13.12.2021

Jeg er litt imponert over hvordan "systemet" faktisk fungerer i praksis, når det blåser opp til storm.

kl. 02:17 natt til fredag ble det slått alarm fra en av våre automatiske sikkerhetsmekanismer i Visma.net Approval. Visma CSIRT (Computer Incidence Security Response Team) varslet intern kl. 12:17. Våre sårbarhets scanning tjenester varslet samtidig om den samme saken. I tillegg gikk jungeltelegrafen internt. Kl. 13:12 hadde Visma.net Approval teamet indentifisert sårbarheten og tettet hullet i produksjon. Godt jobbet!

Oppdatering 10:56 - 13.12.2021

Fikk akkurat nå bekreftet fra Visma.net Autopay teamet at de i relasjon til meldingen under (10:50), allerede på fredag, 10.12, patchet og fixet sårbarheten. Well done!

Oppdatering kl. 10.50 - 13.12.2021

Visma sitt sikkerhetsteam (CSIRT) ble kjent med utfordringene allerede 10.12, og varslet alle utviklingsteam i Visma, med informasjon, analyser og utbedringsforslag.

Postet kl. 0930 - 13.12.2021

Vi har i dag fått flere forespørsler fra partnere og kunder vedrørende en nylig oppdaget sårbarhet i Apache Log4j, en tredjeparts software som benyttes av mange Software produsenter verden over.

Spørsmålet er hvordan den nyoppdagede sårbarheten påvirker Visma sine løsninger, og hva Visma gjør med saken.

Vårt sikkerhets team er på saken, og denne artikkelen blir oppdatert så raskt som mulig.

Her er link til en av mange beskrivelser av sårbarheten som er oppdaget.

https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html

Therese Svendsen · ‎13-12-2021

Hei,

Jeg ser at dere skriver at Visma Cloud Gateway ikke er berørt av denne sårbarheten, likevel ligger Log4j fil som del av installasjon for Visma Cloud Gateway og Visma Clound Agent hos oss som har Visma Business på lokal server. Disse filene åpner for sårbarhet i våre systemer. Hva skal gjøres med det? Kommer det oppdatering fra dere? Hvordan skal vi håndtere dette?

Stian Estil · ‎13-12-2021

Dette er en annen versjon av Log4j, og er ikke berørt av sårbarheten. Dette er bekreftet fra VCG teamet.

Anonymous · ‎14-12-2021

I tillegg til Log4j, er dere også berørt av den andre alvorlige sårbarheten som er på eldre versjoner enn den som ble kjent på fredag; log4 1.2.x ?

Log4 1.2.x er sårbar for en feil som ligner og bruken av denne angrepsvektoren øker nå som det er et fokus på Log4j-sårbarheter.

Stian Estil · ‎14-12-2021

Hei @Anonymous.

Det kortet svaret er nei, ellers hadde vi også varslet om det, i henhold til vår full disclosure policy. Selv om jeg ikke kjenner til at vi er berørt av dette noe sted i Visma så svarer jeg spesifikt i forhold til Visma Software Norge AS, som eier dette kundeområdet, og svarer i kontekst av at du er kunde på et av våre produkter. Her er et mer ufyllende svar fra våre sikkerhetseksperter.

Sårbarheten i log4j 1.2.x som det refereres til er CVE-2019-17571.
Denne er kunn viktig hvis man sender log meldinger over en socket til en socket server. Det er det ingen som i praksis gjør bortsett fra de som benytter seg av en log4j socket appender for å sende log meldinger til logstash. https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html

log4j v1.x have 2 known vulnerabilities.

a modified version of "log4shell" but it requires making modification to files and configs and therefore highly unlikely (CVE-2021-4104)
a dezerilzation issue (CVE-2019-17571) which is much more complex for an attacker to abuse and requires additional setup or configs (running log4j as a server in listen mode, which is not standard behavior). that an attacker would be able to control the input (payload) is therefore reduced

1.x is also End-of-Life.
the coordinated action here is therefore NOT dealing with 1.x but only 2.x (edited)

https://www.visma.com/blog/log4shell-wide-spread-cyber-threat/

hwoi · ‎15-12-2021

Her omtales først og fremst .NET produkter som sikkert kan oppdateres løpende. Vi benytter Visma Business, Visma Dokumentsenter og Huldt og Lillevik. Alle er installert som on-prem løsninger på servere hos ekstern leverandør. Hvordan ligger denne programvaren an? Er alle versjoner sikre?

Stian Estil · ‎15-12-2021

Hei, @hwoi

Ja alle våre on-prem løsninger er også analysert, og ingen av de har hatt behov for utbedringer/oppdateringer. Hvis noe annet hadde vært tilfelle ville kunder blitt varslet om det. Det er kun VCG som er omtalt i et spørsmål lenger opp som var relevant, men der benyttes ikke noen av de versjonene som har kjent sårbarhet.

Sårbarhet i Apache Log4j

Kjente feil

Nyttige sider

Våre løsninger

Følg oss