16 grudnia, 2021
Aktualizacja na temat luki w Apache Log4j od naszego dyrektora ds. bezpieczeństwa informacji.
Oprócz monitorowania prób włamań, nasze zespoły ds. bezpieczeństwa analizują każdy z naszych produktów, aby upewnić się, że nie zostały one naruszone. Jeśli zidentyfikujemy jakiekolwiek naruszenia w naszych produktach i systemach, natychmiast powiadomimy o tym użytkowników, których one dotyczą.
W ramach aktualizacji informacji z 14 grudnia dokonaliśmy przeglądu naszego portfolio produktów. Przegląd ten wykazał, że trzy usługi były podatne na zagrożenie związane z log4j (strona CVE zidentyfikowała 2 różne zagrożenia związane z log4j), które zostały skutecznie zabezpieczone w naszych środowiskach produkcyjnych. Nadal nie widzimy żadnych dowodów na ich wykorzystanie.
Dotknięte usługi to:
- ProjectWise Project Insight
- ProjectWise Portfolio Insight
- OpenCities Planner
Jak wspomniano powyżej, luki w tych usługach zostały złagodzone i nie ma dowodów na ich wykorzystanie. Nie ma potrzeby podejmowania żadnych działań przez użytkowników tych usług hostowanych przez Bentleya.
Ponadto, do tej pory potwierdziliśmy, że żaden produkt firmy Bentley zainstalowany na komputerze stacjonarnym lub serwerze (on-premise) nie wymaga od użytkowników wykonywania jakichkolwiek działań związanych z łagodzeniem wspomnianych podatności CVE. Będziemy nadal monitorować tę sytuację i w razie potrzeby dostarczać odpowiednie aktualizacje.
Tom Cibelli
Chief Information Security Officer
Bentley Systems
Poprzednia aktualizacja, 14 grudnia 2021
9 grudnia 2021 r. zgłoszono lukę bezpieczeństwa (zero-day exploit) w bibliotece Java "log4j," która wskazuje, że biblioteka może być podatna na złośliwe ataki zdalnego wykonania kodu (RCE).
Gdy firma Bentley została powiadomiona, nasi eksperci ds. bezpieczeństwa rozpoczęli dochodzenie w celu ustalenia, czy ten atak miał wpływ na nasze systemy, produkty i/lub usługi. Chcielibyśmy poinformować, że w tym momencie firma Bentley nie znalazła żadnych dowodów na to, że nasze systemy zostały naruszone przez ten atak lub że nastąpiło włamanie.
Firma Bentley stosuje dogłębne praktyki obronne we wszystkich swoich systemach i usługach, używając technologii, które są stworzone do wykrywania i łagodzenia ataków typu zero-day, w tym Endpoint Detection and Response (EDR), oprogramowanie antywirusowe oparte na heurystyce i sygnaturach, jak również ciągłe monitorowanie sieci. Praktyki te są wprowadzane w celu zapewnienia naszym użytkownikom możliwości kontynuowania pracy w normalnym trybie podczas próby cyberataku, ze świadomością, że ich praca będzie chroniona.
Oprócz monitorowania pod kątem włamań, nasze zespoły ds. bezpieczeństwa analizują każdy z naszych produktów, aby upewnić się, że nie zostały one naruszone. Jeśli zidentyfikujemy jakiekolwiek naruszenia w naszych produktach i systemach, natychmiast powiadomimy użytkowników, których to dotyczy.
Zespół ds. bezpieczeństwa informacji firmy Bentley będzie nadal aktywnie monitorował i reagował na tę rozwijającą się sytuację, tak jak w przypadku wszystkich problemów związanych z bezpieczeństwem. Użytkownicy są zachęcani do monitorowania naszego programu Common Vulnerability Exposure Program w celu uzyskania ciągłych aktualizacji.
Jako użytkownicy oprogramowania firmy Bentley mogą być Państwo pewni, że ochrona danych jest naszym najwyższym priorytetem.
Tom Cibelli
Chief Information Security Officer
Bentley Systems
Inne wersje językowe:
angielski