Recientemente, los investigadores de seguridad han identificado tres vulnerabilidades de ejecución remota de código (RCE, por sus siglas en inglés) relacionadas con el framework Spring (CVE-2022-22965, CVE-2022-22963 y CVE-2022-22947). Además, se ha identificado una cuarta vulnerabilidad de denegación de servicio (DoS) relacionada con Spring de gravedad media (CVE-2022-22950).
Desde que se detectó el problema, el equipo de seguridad de Udemy ha trabajado concienzudamente para revisar y proteger los sistemas de Udemy. En este momento, no hay signos de que estas vulnerabilidades hayan afectado de forma negativa a los datos corporativos ni a los personales.
En el caso de las vulnerabilidades que suponen un riesgo elevado y tienen un gran impacto como estas, nuestros equipos adoptan varias medidas inmediatas, entre las que se incluyen la realización de pruebas para comprobar los niveles de vulnerabilidad, la restricción de las conexiones de red y la implementación de actualizaciones del software o del sistema, o de soluciones alternativas cuando sea necesario. Nuestros equipos de seguridad e ingeniería supervisarán nuestro entorno, los procesadores secundarios más importantes y los proveedores para detectar casos de estas vulnerabilidades, intentos de ataque y avisos de nuestros terceros contratados.
Informaremos sobre las novedades a través de esta página a medida que obtengamos más información.Nuestro equipo de seguridad trabaja con diligencia para garantizar que nuestros sistemas estén protegidos según las recomendaciones de los investigadores de seguridad más recientes, por lo que actualmente no podemos ofrecer respuestas personalizadas. Consulta las preguntas más frecuentes que aparecen a continuación para obtener información detallada sobre el enfoque de nuestra solución.
¿Se ha actualizado el framework Spring a una versión más segura?
En todos los casos en los que se utilizaban versiones vulnerables del framework Spring u otros productos relacionados, hemos llevado a cabo una minuciosa labor de corrección. Para ello, hemos seguido las recomendaciones de actualizar a una versión más reciente o aplicar soluciones alternativas. Asimismo, hemos ajustado nuestras defensas en capas para proteger nuestros sistemas de forma más general.
¿Cuándo se completará la corrección?
El equipo de seguridad de Udemy está siguiendo las recomendaciones de los expertos en seguridad y de los proveedores a medida que evolucionan los patrones de ataque de las vulnerabilidades del framework Spring. Asimismo, las medidas de corrección y mitigación que hemos adoptado continuarán conforme se compartan más recomendaciones.
¿Se han visto amenazados los datos de los clientes?
En este momento, no hay signos de que esta vulnerabilidad haya afectado de forma negativa a los datos corporativos ni a los personales.
¿Se ha preguntado a los proveedores de terceros que se utilizan en el entorno sobre el impacto del framework Spring?
Udemy se ha puesto en contacto con los principales procesadores secundarios de Udemy Business y ha aplicado actualizaciones en las herramientas a medida que nuestros proveedores las iban publicando.