dormakaba
Over_ons_BE_NL

log4j kritiek beveiliginglek treft niet de dormakaba toegangscontrolesystemen

Op 12 december 2021 heeft het Duitse federale bureau voor informatiebeveiliging (BSI) de cybersecurity waarschuwing "Kritieke beveiligingslek in log4j gepubliceerd (CVE-2021-44228)" uit laten gaan.

De veiligheidswaarschuwing luidt: "Log4j is een populaire logging bibliotheek voor Java applicaties. Het wordt gebruikt om loggegevens van een applicatie op een efficiënte manier te aggregeren.
De blog [LUN2021] van een IT-beveiligingsservice-provider meldt kwetsbaarheid CVE-2021-44228 [MIT2021] in log4j versies 2.0 tot en met 2.14.1, waardoor aanvallers hun eigen programmacode op het doelsysteem kunnen uitvoeren en zo de server kunnen compromitteren.".

Het risico dat deze kwetsbaarheid wordt misbruikt voor cyberaanvallen is zeer waarschijnlijk, daarom beoordeelt de BSI het waarschuwingsniveau als "4/Red". Zo zou een aanval via een invoerscherm bij bezoekersregistratie, vakantieaanvragen, tijdcorrecties, etc. denkbaar zijn, aangezien deze meestal worden gelogd. Een andere manier waarop het systeem kan worden misbruikt, is dat een aanvaller in plaats van een naam in te voeren, rechtstreeks een executable programmacode kan invoeren en zo onopgemerkt malware kan installeren.

Maatregelen
De veiligheidswaarschuwing heeft begrijpelijkerwijs geleid tot bezorgdheid bij onze klanten en partners. In reactie op de veiligheidswaarschuwing hebben we onmiddellijk al onze (eventueel) op Java gebaseerde toegangscontrole en data-softwaresystemen beoordeeld. Het resultaat is dat geen enkel systeem van dormakaba getroffen wordt door dit beveiligingslek. We willen we al onze belanghebbenden informeren over de resultaten van de interne beoordeling.

U kunt hier het verslag lezen.

Aanbevolen actie
Op basis van de resultaten van het onderzoek is geen actie nodig met betrekking tot de "Kritieke kwetsbaarheid in log4j". 

Let op: onze softwareoplossingen bieden over het algemeen de mogelijkheid om te worden gekoppeld aan software van derden en met componenten van derden. We kunnen geen uitspraken doen over interfaces die zijn gekoppeld met software of producten van derden.
We raden onze klanten en partners aan om hun systeem en hardware bij te werken naar de nieuwste versie voor de best mogelijke bescherming tegen cyberaanvallen.

Informatie
Mocht u vragen hebben of meer informatie wensen, aarzel dan niet om contact op te nemen met uw vaste dormakaba accountmanager voor toegangscontrole oplossingen.