• Resposta da Udemy à vulnerabilidade do Spring Framework

    Recentemente, pesquisadores de segurança identificaram três vulnerabilidades de execução remota de código (RCE) relacionadas ao Spring Framework (CVE-2022-22965, CVE-2022-22963, CVE-2022-22947). Além disso, existe uma quarta vulnerabilidade DoS com Spring que tem um nível de criticidade médio, CVE-2022-22950.

    Desde que esses problemas foram descobertos, a equipe de segurança da Udemy tem trabalhado diligentemente para revisar e proteger os sistemas da Udemy. Neste ponto, não há indicadores de que essas vulnerabilidades afetaram negativamente qualquer empresa ou dados pessoais.

    Para vulnerabilidades de alto risco e alto impacto, como essas, nossas equipes realizam diversas ações imediatas, incluindo testes para confirmar os níveis de vulnerabilidade, restringir as conexões de rede e aplicar atualizações de software ou sistema, ou soluções alternativas quando necessário. Nossas equipes de segurança e engenharia vão monitorar nosso ambiente, subprocessadores críticos e fornecedores quanto a instâncias dessas vulnerabilidades, tentativas de ataques e avisos de nossos terceiros contratados.

    Conforme obtivermos novas informações, vamos disponibilizar atualizações nesta página.Nossa equipe de segurança está trabalhando diligentemente para garantir que os sistemas estejam protegidos conforme as recomendações dos pesquisadores de segurança evoluírem, então não é possível fornecer respostas personalizadas no momento. Para ver informações detalhadas sobre nossa abordagem de resposta, consulte as perguntas frequentes abaixo. 

    Vocês já atualizaram para uma versão mais segura do Spring Framework?

    Em cada caso onde as versões vulneráveis do Spring Framework ou ofertas relacionadas estavam em uso, tomamos certos esforços cuidadosos de remediação, tal como atualizar para uma versão mais nova recomendada ou implementar alternativas recomendadas. Também ajustamos nossas camadas de defesa para proteger nossos sistemas de maneira global.

    Quando a remediação estará concluída?

    A equipe de segurança da Udemy está monitorando as recomendações de especialistas em segurança e fornecedores conforme os padrões de ataque da vulnerabilidade do Spring Framework evoluem, e nossos esforços de mitigação e remediação continuarão conforme essas recomendações são compartilhadas. 

    Os dados dos clientes foram comprometidos?

    Neste ponto, não há indicadores de que essa vulnerabilidade afetou negativamente qualquer empresa ou dados pessoais. 

    Vocês estão questionando fornecedores terceirizados usados no seu ambiente sobre o impacto do Spring Framework?

    A Udemy entrou em contato com os principais subprocessadores da Udemy Business e aplica atualizações às ferramentas conforme nossos fornecedores as liberam.

    Ler artigo
  • Incluir recursos da Udemy Business na lista de permissões

    Se os seus usuários acessam as contas da Udemy Business pela rede da sua empresa, seu departamento de TI precisa incluir alguns domínios e subdomínios na lista de permissões para garantir que alguns recursos funcionem corretamente. 

    Este artigo descreve quais domínios e subdomínios precisam ser incluídos na lista de permissões para determinados recursos da Udemy Business.

    Incluir conteúdo na lista de permissões (streaming de vídeo)

    Se os seus usuários enfrentarem um desempenho ruim (por exemplo, atrasos na reprodução) ao fazer o streaming de vídeos e visualizar conteúdo pela rede da sua empresa, o domínio de streaming de vídeo usado pela Udemy Business deve ser incluído na lista de permissões.

    Para garantir que seus usuários possam visualizar conteúdo da Udemy Business sem problemas, a equipe de TI da sua organização precisa incluir o seguinte domínio de streaming de vídeo na lista de permissão dos firewalls/gateways da sua rede: *.udemycdn.com.

    Ainda está com problemas no streaming? Se o problema persistir depois que o TI incluir esses domínios na lista de permissão, peça para que os usuários que ainda enfrentam esse problema entrem em contato com o Suporte da Udemy Business e enviem para a nossa equipe um arquivo HAR. As informações no arquivo HAR ajudarão nossos engenheiros a determinar qual é o problema para que eles possam começar a trabalhar em uma solução.

    Como adicionar e-mails à lista de permissão

    Se os firewalls da sua empresa são geralmente restritivos (alguns sites comumente usados são bloqueados), você precisará colocar os seguintes domínios de e-mail e todos os subdomínios enviados pela Udemy Business na lista de permissão para garantir a entrega dos e-mails de convite, redefinição de senha e outros e-mails importantes.

    • a) *.udemy.com 
    • b) *.udemymail.com

    Importante: lembre-se de verificar com seu provedor de serviço de e-mail qual é o método correto para incluir todos os subdomínios de um determinado domínio em uma lista de permissão, já que isso pode diferir entre os provedores. Se os subdomínios não forem incluídos na lista de permissão corretamente, a entrega de e-mails da Udemy Business por esses domínios pode ser bloqueada.

    Incluir downloads de relatórios na lista de permissões

    Se os firewalls da sua empresa são geralmente restritivos (alguns sites comumente usados são bloqueados), você precisará colocar o seguinte site na lista de permissão para garantir que os relatórios possam ser baixados.

    • *amazon.com

    Incluir Laboratórios e Espaços de trabalho na lista de permissões (usuários Udemy Business Pro)

    Os usuários da Udemy Business Pro que acessam a Udemy Business pela rede da empresa precisarão que a equipe de TI da empresa inclua na lista de permissões os seguintes domínios para garantir que os Espaços de trabalho e Laboratórios funcionem corretamente.

    • *.udemy.com
    • *.udemycdn.com
    • *.udemylabs.com
    • *.vocareum.com
    • *.amazon.com

    Entradas na lista de permissão para o Azure

    As entradas na lista de permissão que a Microsoft recomenda para o Azure podem ser consultadas neste recurso da Microsoft.

    Ler artigo
  • Resposta da Udemy à vulnerabilidade Log4J

    Recentemente, pesquisadores de segurança identificaram uma vulnerabilidade de RCE (Remote Code Execution) (CVE-2021-44228) que afeta a ferramenta Log4J do Apache, um utilitário de registro baseado em Java que é usado por diversos provedores de software.

    Desde que esse problema foi descoberto, a equipe de segurança da Udemy tem trabalhado diligentemente para revisar e proteger os sistemas da Udemy. Neste ponto, não há indicadores de que essa vulnerabilidade afetou negativamente qualquer empresa ou dados pessoais. Continuaremos investigando o impacto dessa vulnerabilidade em nossa infraestrutura e aplicações. 

    Para vulnerabilidades de alto risco e alto impacto, como essa, nossas equipes realizam diversas ações imediatas, incluindo testes para confirmar os níveis de vulnerabilidade, restringir as conexões de rede e aplicar atualizações de software ou sistema, ou soluções alternativas quando necessário. Nossas equipes de segurança e engenharia vão monitorar nosso ambiente, subprocessadores críticos e fornecedores quanto a instâncias dessa vulnerabilidade, tentativas de ataques e avisos de nossos terceiros contratados.

    Conforme obtivermos novas informações, vamos disponibilizar atualizações nesta página. Nossa equipe de segurança está trabalhando diligentemente para garantir que os sistemas estejam protegidos conforme as recomendações dos pesquisadores de segurança evoluírem, então não é possível fornecer respostas personalizadas no momento. Para ver informações detalhadas sobre nossa abordagem de resposta, consulte as perguntas frequentes abaixo. 

    Vocês atualizaram para uma versão mais segura do Log4J (2.0-2.14.1) ?

    Em cada caso onde as versões vulneráveis do Log4J estavam em uso, tomamos certos esforços cuidadosos de remediação, tal como atualizar para uma versão mais nova recomendada ou implementar alternativas recomendadas. Também ajustamos nossas defesas em camadas (por exemplo, incluir restrições adicionais em conexões de rede de entrada e saída) para proteger nossos sistemas de maneira mais ampla.

    Quando a remediação estará concluída?

    A equipe de segurança da Udemy está monitorando as recomendações de especialistas em segurança e fornecedores conforme os padrões de ataque da vulnerabilidade Log4J evoluem, e nossos esforços de mitigação e remediação continuarão conforme essas recomendações são compartilhadas. 

    Os dados dos clientes foram comprometidos?

    Neste ponto, não há indicadores de que essa vulnerabilidade afetou negativamente qualquer empresa ou dados pessoais. 

    Vocês estão questionando fornecedores terceirizados usados no seu ambiente sobre o impacto do Log4J?

    A Udemy entrou em contato com nossos fornecedores e aplicou atualizações às ferramentas conforme nossos fornecedores as liberam. Também estamos monitorando listas agregadas de especialistas em segurança para garantir que responderemos a outras mitigações de segurança recomendadas para cada ferramenta.

    Ler artigo
  • Problemas de login

    Caso os usuários não consigam fazer login depois de serem convidados para sua conta da Udemy Business, peça para eles redefinirem as senhas. Se isso não funcionar, peça para o usuário afetado enviar um ticket de suporte. Um membro da nossa equipe de suporte responderá dentro de 24 horas.

    Se você tiver configurado o Single Sign-On (SSO) para a Udemy Business, entre em contato com o departamento de TI da sua organização para garantir que os usuários tenham recebido acesso à Udemy Business por meio do seu provedor de SSO.

    Se os firewalls da sua empresa são geralmente restritivos (alguns sites comumente usados são bloqueados), você precisará colocar os e-mails da Udemy na lista de permissão para garantir a operação da função de redefinição de senha. Saiba mais sobre como incluir em listas de permissão os domínios e subdomínios de envio de e-mail da Udemy Business.

     

    Ler artigo