Recentemente, pesquisadores de segurança identificaram uma vulnerabilidade de RCE (Remote Code Execution) (CVE-2021-44228) que afeta a ferramenta Log4J do Apache, um utilitário de registro baseado em Java que é usado por diversos provedores de software.
Desde que esse problema foi descoberto, a equipe de segurança da Udemy tem trabalhado diligentemente para revisar e proteger os sistemas da Udemy. Neste ponto, não há indicadores de que essa vulnerabilidade afetou negativamente qualquer empresa ou dados pessoais. Continuaremos investigando o impacto dessa vulnerabilidade em nossa infraestrutura e aplicações.
Para vulnerabilidades de alto risco e alto impacto, como essa, nossas equipes realizam diversas ações imediatas, incluindo testes para confirmar os níveis de vulnerabilidade, restringir as conexões de rede e aplicar atualizações de software ou sistema, ou soluções alternativas quando necessário. Nossas equipes de segurança e engenharia vão monitorar nosso ambiente, subprocessadores críticos e fornecedores quanto a instâncias dessa vulnerabilidade, tentativas de ataques e avisos de nossos terceiros contratados.
Conforme obtivermos novas informações, vamos disponibilizar atualizações nesta página. Nossa equipe de segurança está trabalhando diligentemente para garantir que os sistemas estejam protegidos conforme as recomendações dos pesquisadores de segurança evoluírem, então não é possível fornecer respostas personalizadas no momento. Para ver informações detalhadas sobre nossa abordagem de resposta, consulte as perguntas frequentes abaixo.
Vocês atualizaram para uma versão mais segura do Log4J (2.0-2.14.1) ?
Em cada caso onde as versões vulneráveis do Log4J estavam em uso, tomamos certos esforços cuidadosos de remediação, tal como atualizar para uma versão mais nova recomendada ou implementar alternativas recomendadas. Também ajustamos nossas defesas em camadas (por exemplo, incluir restrições adicionais em conexões de rede de entrada e saída) para proteger nossos sistemas de maneira mais ampla.
Quando a remediação estará concluída?
A equipe de segurança da Udemy está monitorando as recomendações de especialistas em segurança e fornecedores conforme os padrões de ataque da vulnerabilidade Log4J evoluem, e nossos esforços de mitigação e remediação continuarão conforme essas recomendações são compartilhadas.
Os dados dos clientes foram comprometidos?
Neste ponto, não há indicadores de que essa vulnerabilidade afetou negativamente qualquer empresa ou dados pessoais.
Vocês estão questionando fornecedores terceirizados usados no seu ambiente sobre o impacto do Log4J?
A Udemy entrou em contato com nossos fornecedores e aplicou atualizações às ferramentas conforme nossos fornecedores as liberam. Também estamos monitorando listas agregadas de especialistas em segurança para garantir que responderemos a outras mitigações de segurança recomendadas para cada ferramenta.