Recientemente, los investigadores de seguridad han identificado una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) (CVE-2021-44228) que afecta a la herramienta Log4J de Apache, un servicio de registro que utiliza el lenguaje de programación Java y que es empleado por numerosos proveedores de software.
Desde que se descubrió este problema, el equipo de seguridad de Udemy ha trabajado concienzudamente para revisar y proteger los sistemas de Udemy. En este momento, no hay signos de que esta vulnerabilidad haya afectado de forma negativa a los datos corporativos ni a los personales. Seguimos investigando el alcance de esta vulnerabilidad en toda nuestra infraestructura y nuestras aplicaciones.
En el caso de las vulnerabilidades que suponen un riesgo elevado y tienen un gran impacto como esta, nuestros equipos adoptan varias medidas inmediatas, entre las que se incluyen la realización de pruebas para comprobar los niveles de vulnerabilidad, la restricción de las conexiones de red y la implementación de actualizaciones del software o del sistema, o de soluciones alternativas cuando sea necesario. Nuestros equipos de seguridad e ingeniería supervisarán nuestro entorno, los procesadores secundarios más importantes y los proveedores para detectar casos de esta vulnerabilidad, intentos de ataque y avisos de nuestros terceros contratados.
Informaremos sobre las novedades a través de esta página a medida que obtengamos más información. Nuestro equipo de seguridad trabaja con diligencia para garantizar que nuestros sistemas estén protegidos según las recomendaciones de los investigadores de seguridad más recientes, por lo que actualmente no podemos ofrecer respuestas personalizadas. Consulta las preguntas más frecuentes que aparecen a continuación para obtener información detallada sobre el enfoque de nuestra solución.
¿Se ha actualizado la versión de Log4J a una más segura (2.0-2.14.1)?
En todos los casos en los que se utilizaban versiones vulnerables de Log4J, hemos llevado a cabo una minuciosa labor de corrección. Para ello, hemos seguido las recomendaciones de actualizar a una versión más reciente o aplicar soluciones alternativas. También hemos ajustado nuestras defensas en capas (p. ej., añadiendo restricciones adicionales a las conexiones de red entrantes y salientes) para proteger nuestros sistemas de forma más general.
¿Cuándo se completará la corrección?
El equipo de seguridad de Udemy está siguiendo las recomendaciones de los expertos en seguridad y de los proveedores a medida que evolucionan los patrones de ataque de la vulnerabilidad de Log4J. Asimismo, las medidas de corrección y mitigación que hemos adoptado continuarán conforme se compartan más recomendaciones.
¿Se han visto amenazados los datos de los clientes?
En este momento, no hay signos de que esta vulnerabilidad haya afectado de forma negativa a los datos corporativos ni a los personales.
¿Se ha preguntado a los proveedores de terceros que se utilizan en el entorno sobre el impacto de Log4J?
Udemy se ha puesto en contacto con los proveedores y ha aplicado actualizaciones en las herramientas a medida que nuestros proveedores las iban publicando. También supervisamos las listas recopiladas por los expertos en seguridad para asegurarnos de que seguimos otras recomendaciones de seguridad en función de cada herramienta.