• La respuesta de Udemy ante la vulnerabilidad del framework Spring

    Recientemente, los investigadores de seguridad han identificado tres vulnerabilidades de ejecución remota de código (RCE, por sus siglas en inglés) relacionadas con el framework Spring (CVE-2022-22965, CVE-2022-22963 y CVE-2022-22947). Además, se ha identificado una cuarta vulnerabilidad de denegación de servicio (DoS) relacionada con Spring de gravedad media (CVE-2022-22950).

    Desde que se detectó el problema, el equipo de seguridad de Udemy ha trabajado concienzudamente para revisar y proteger los sistemas de Udemy. En este momento, no hay signos de que estas vulnerabilidades hayan afectado de forma negativa a los datos corporativos ni a los personales.

    En el caso de las vulnerabilidades que suponen un riesgo elevado y tienen un gran impacto como estas, nuestros equipos adoptan varias medidas inmediatas, entre las que se incluyen la realización de pruebas para comprobar los niveles de vulnerabilidad, la restricción de las conexiones de red y la implementación de actualizaciones del software o del sistema, o de soluciones alternativas cuando sea necesario. Nuestros equipos de seguridad e ingeniería supervisarán nuestro entorno, los procesadores secundarios más importantes y los proveedores para detectar casos de estas vulnerabilidades, intentos de ataque y avisos de nuestros terceros contratados.

    Informaremos sobre las novedades a través de esta página a medida que obtengamos más información.Nuestro equipo de seguridad trabaja con diligencia para garantizar que nuestros sistemas estén protegidos según las recomendaciones de los investigadores de seguridad más recientes, por lo que actualmente no podemos ofrecer respuestas personalizadas. Consulta las preguntas más frecuentes que aparecen a continuación para obtener información detallada sobre el enfoque de nuestra solución. 

    ¿Se ha actualizado el framework Spring a una versión más segura?

    En todos los casos en los que se utilizaban versiones vulnerables del framework Spring u otros productos relacionados, hemos llevado a cabo una minuciosa labor de corrección. Para ello, hemos seguido las recomendaciones de actualizar a una versión más reciente o aplicar soluciones alternativas. Asimismo, hemos ajustado nuestras defensas en capas para proteger nuestros sistemas de forma más general.

    ¿Cuándo se completará la corrección?

    El equipo de seguridad de Udemy está siguiendo las recomendaciones de los expertos en seguridad y de los proveedores a medida que evolucionan los patrones de ataque de las vulnerabilidades del framework Spring. Asimismo, las medidas de corrección y mitigación que hemos adoptado continuarán conforme se compartan más recomendaciones. 

    ¿Se han visto amenazados los datos de los clientes?

    En este momento, no hay signos de que esta vulnerabilidad haya afectado de forma negativa a los datos corporativos ni a los personales. 

    ¿Se ha preguntado a los proveedores de terceros que se utilizan en el entorno sobre el impacto del framework Spring?

    Udemy se ha puesto en contacto con los principales procesadores secundarios de Udemy Business y ha aplicado actualizaciones en las herramientas a medida que nuestros proveedores las iban publicando.

    Leer artículo
  • Funciones de las listas de admitidos de Udemy Business

    Si tus usuarios acceden a sus cuentas de Udemy Business a través de la red de tu empresa, es posible que el equipo de TI de tu organización tenga que añadir varios dominios y subdominios a las listas de admitidos para garantizar que algunas funciones se ejecuten correctamente. 

    En este artículo se indica qué dominios y subdominios deben incluirse en las listas de admitidos para la ejecución de determinadas funciones de Udemy Business.

    Índice

    Añadir contenido a las listas de admitidos (transmisión de vídeos)

    Si tus usuarios experimentan un rendimiento significativamente deficiente (por ejemplo, retrasos en la reproducción) al transmitir vídeos y ver contenidos a través de la red de tu empresa, el dominio de transmisión de vídeos que Udemy Business utiliza debería incluirse en la lista de admitidos.

    Para garantizar que tus usuarios puedan ver contenidos de Udemy Business sin problemas, solicita al equipo de TI de tu organización que incluya el siguiente dominio de transmisión de vídeos en la lista de admitidos de los cortafuegos o las puertas de enlace de tu red: *.udemycdn.com.

    ¿Sigue habiendo problemas de transmisión? Si el problema continúa una vez que el equipo de TI de tu organización haya incluido este dominio en la lista de admitidos, indica a los usuarios que sigan teniendo el problema que se pongan en contacto con el equipo de asistencia de Udemy Business y que proporcionen a nuestro equipo un archivo HAR. La información del archivo HAR ayudará a nuestros ingenieros a determinar cuál es el problema para poder empezar a buscar una solución.

    Añadir contenido a las listas de admitidos (exámenes de prueba y ejercicios de codificación)

    Para asegurarte de que tus estudiantes puedan completar cursos de Udemy Business que contengan ejercicios de codificación o exámenes de prueba, pide al equipo de TI de tu empresa que añada los siguientes dominios a la lista de admitidos.

    • *.pusherapp.com
    • *.pusher.com

    Añadir correos electrónicos a las listas de admitidos

    En el caso de que los cortafuegos de tu empresa sean, en general, restrictivos y bloqueen determinados sitios a los que se accede con frecuencia, tendrás que incluir los siguientes dominios de envío de correos electrónicos y todos sus subdominios de Udemy Business en la lista de admitidos para garantizar la entrega de correos electrónicos de invitaciones y de restablecimiento de la contraseña, así como otros correos importantes.

    • a) *.udemy.com 
    • b) *.udemymail.com

    Importante: Asegúrate de verificar con tu proveedor de servicios de correo electrónico cuál es el método correcto para añadir todos los subdominios de un dominio en concreto a la lista de admitidos, ya que puede variar según el proveedor. Si los subdominios no se añaden correctamente a las listas de admitidos, puede que se bloquee el envío de correos electrónicos de Udemy Business desde estos dominios.

    Añadir las descargas de informes a la lista de admitidos

    En el caso de que los cortafuegos de tu empresa sean, a nivel general, restrictivos y bloqueen determinados sitios a los que se accede frecuentemente, tendrás que incluir el siguiente sitio en la lista de admitidos para garantizar que los informes se descargan correctamente.

    • *amazon.com

    Añadir laboratorios y espacios de trabajo a las listas de admitidos (usuarios de Udemy Business Pro)

    Los usuarios de Udemy Business Pro que accedan a Udemy Business desde la red de su empresa deberán solicitar al equipo de TI de su organización que incluya los siguientes dominios en las listas de admitidos para garantizar que los espacios de trabajo y los laboratorios funcionen correctamente.

    • *.udemy.com
    • *.udemycdn.com
    • *.udemylabs.com
    • *.vocareum.com
    • *.amazon.com

    Añadir las entradas de Azure a las listas de admitidos

    Puedes consultar las entradas incluidas en las listas de admitidos que Microsoft recomienda para Azure en este recurso de Microsoft.

    Leer artículo
  • La respuesta de Udemy ante la vulnerabilidad de Log4J

    Recientemente, los investigadores de seguridad han identificado una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) (CVE-2021-44228) que afecta a la herramienta Log4J de Apache, un servicio de registro que utiliza el lenguaje de programación Java y que es empleado por numerosos proveedores de software.

    Desde que se descubrió este problema, el equipo de seguridad de Udemy ha trabajado concienzudamente para revisar y proteger los sistemas de Udemy. En este momento, no hay signos de que esta vulnerabilidad haya afectado de forma negativa a los datos corporativos ni a los personales. Seguimos investigando el alcance de esta vulnerabilidad en toda nuestra infraestructura y nuestras aplicaciones. 

    En el caso de las vulnerabilidades que suponen un riesgo elevado y tienen un gran impacto como esta, nuestros equipos adoptan varias medidas inmediatas, entre las que se incluyen la realización de pruebas para comprobar los niveles de vulnerabilidad, la restricción de las conexiones de red y la implementación de actualizaciones del software o del sistema, o de soluciones alternativas cuando sea necesario. Nuestros equipos de seguridad e ingeniería supervisarán nuestro entorno, los procesadores secundarios más importantes y los proveedores para detectar casos de esta vulnerabilidad, intentos de ataque y avisos de nuestros terceros contratados.

    Informaremos sobre las novedades a través de esta página a medida que obtengamos más información. Nuestro equipo de seguridad trabaja con diligencia para garantizar que nuestros sistemas estén protegidos según las recomendaciones de los investigadores de seguridad más recientes, por lo que actualmente no podemos ofrecer respuestas personalizadas. Consulta las preguntas más frecuentes que aparecen a continuación para obtener información detallada sobre el enfoque de nuestra solución. 

    ¿Se ha actualizado la versión de Log4J a una más segura (2.0-2.14.1)?

    En todos los casos en los que se utilizaban versiones vulnerables de Log4J, hemos llevado a cabo una minuciosa labor de corrección. Para ello, hemos seguido las recomendaciones de actualizar a una versión más reciente o aplicar soluciones alternativas. También hemos ajustado nuestras defensas en capas (p. ej., añadiendo restricciones adicionales a las conexiones de red entrantes y salientes) para proteger nuestros sistemas de forma más general.

    ¿Cuándo se completará la corrección?

    El equipo de seguridad de Udemy está siguiendo las recomendaciones de los expertos en seguridad y de los proveedores a medida que evolucionan los patrones de ataque de la vulnerabilidad de Log4J. Asimismo, las medidas de corrección y mitigación que hemos adoptado continuarán conforme se compartan más recomendaciones. 

    ¿Se han visto amenazados los datos de los clientes?

    En este momento, no hay signos de que esta vulnerabilidad haya afectado de forma negativa a los datos corporativos ni a los personales. 

    ¿Se ha preguntado a los proveedores de terceros que se utilizan en el entorno sobre el impacto de Log4J?

    Udemy se ha puesto en contacto con los proveedores y ha aplicado actualizaciones en las herramientas a medida que nuestros proveedores las iban publicando. También supervisamos las listas recopiladas por los expertos en seguridad para asegurarnos de que seguimos otras recomendaciones de seguridad en función de cada herramienta.

    Leer artículo
  • Problemas de inicio de sesión

    Si los usuarios no pueden iniciar sesión después de recibir la invitación a tu cuenta de Udemy Business, indícales que en primer lugar deben restablecer su contraseña. Si esta acción no soluciona el problema, pide al usuario afectado que envíe un ticket de soporte y un miembro de nuestro equipo de soporte le responderá en un plazo de 24 horas.

    Si has configurado el inicio de sesión único (SSO) para Udemy Business, ponte en contacto con el departamento de TI de tu organización para asegurarte de que los usuarios hayan recibido el acceso a Udemy Business a través de tu proveedor de SSO.

    En el caso de que los firewalls de tu empresa sean, en general, restrictivos y bloqueen determinados sitios a los que se accede con frecuencia, tendrás que incluir los correos electrónicos de Udemy en la lista de admitidos para garantizar el correcto funcionamiento de la función de restablecimiento de la contraseña. Obtén más información sobre la adición de los dominios y subdominios de envío de correos electrónicos a las listas de admitidos para Udemy Business.

    Leer artículo