MOOR platform en Spring Framework kwetsbaarheid
Er is door het Nederlands Cyber Security Centrum een ernstige kwetsbaarheid bekend gemaakt die betrekking heeft op het zogenaamde Spring Core Framework (CVE-2022-22965), ook bekend als “Spring4shell”. Dit is een veel gebruikt standaard component. Een kwaadwillende kan deze kwetsbaarheid misbruiken om eigen software uit te voeren binnen de kwetsbare applicatie, en kan daarmee mogelijk toegang krijgen tot gevoelige informatie binnen die applicatie.
Visma Roxit is een onderzoek gestart om al haar producten te controleren op vatbaarheid voor deze kwetsbaarheid en waar nodig alle maatregelen te treffen die nodig zijn om haar producten veilig te houden voor haar klanten en gebruikers.
Voor wat betreft de producten van Visma Roxit Kabels & Leidingen, MOORwerkt en WoW-Portaal, geldt dat uit de controle blijkt dat het bewuste component niet direct binnen het MOOR en/of WoW platform zelf aanwezig is.
Wel is het kwetsbare component aangetroffen binnen de apart staande dienst welke kaartlagen beschikbaar stelt voor haar gebruikers. Het is niet aangetoond dat de kwetsbaarheid binnen deze dienst ook daadwerkelijk misbruikt kan worden.
Desondanks is de software bijgewerkt naar de nieuwe versie waar deze kwetsbaarheid niet meer aanwezig is.
VismaRoxit geeft informatieveiligheid de hoogste prioriteit en controleert continu de veiligheid van haar producten. Rond deze bewuste kwetsbaarheid is inmiddels veel te doen in diverse media. Daarom hebben wij besloten over dit specifieke incident een apart bericht te publiceren.