Zoals u waarschijnlijk via de media heeft vernomen, waarschuwt het Nationaal Cyber Security Centrum voor een kwetsbaarheid die mogelijk grote schade kan veroorzaken.
Er is een ernstige kwetsbaarheid gevonden in Apache Log4j2, zie link CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228CVE-2021-44228.
Dit is software die veel wordt gebruikt in webapplicaties en allerlei andere systemen. Deze kwetsbaarheid stelt aanvallers in staat om misbruik te maken van de rechten van externe webservers.
ScreenCheck heeft gisteren direct actie ondernomen en alle door ScreenCheck beheerde systemen, zoals de SAAS CardsOnline webservers, gecontroleerd op de aanwezigheid van de Apache Log4j2-tool. Het resultaat van het onderzoek is dat op GEEN Op alle door ScreenCheck beheerde servers is deze tool aangetroffen en deze is niet standaard geïnstalleerd. We bevestigen hierbij dat de bovenstaande kwetsbaarheid geen risico vormt voor aanvallen op de door ScreenCheck beheerde servers.
Wat betreft CardsOnline-servers, die on-premise draaien en door de eigen organisatie worden beheerd, adviseren wij de IT-afdeling dringend om de Log4j2-installatie te controleren en de tool en/of server indien van toepassing bij te werken. Voor een correcte werking van CardsOnline en/of Service Portal is de Log4j2-tool niet vereist en wordt deze niet standaard geïnstalleerd. Deze kan echter wel door de eigen organisatie met andere plug-ins worden geïnstalleerd.
Als u nog vragen heeft over dit bericht, neem dan contact op met de ScreenCheck-supportdesk via e-mail support@screencheck.com.
