16. prosince 2021
Aktuální informace o zranitelnosti Apache Log4j od našeho ředitele pro informační bezpečnost
Kromě monitorování narušení naše bezpečnostní týmy analyzují každý z našich produktů, aby se ujistily, že nebyly ohroženy. Pokud zjistíme jakékoli narušení našich produktů a systémů, okamžitě o tom informujeme uživatele, kterých se to týká.
V návaznosti na výše uvedené jsme provedli revizi našeho produktového portfolia. Tato revize zjistila, že tři služby jsou zranitelné vůči (nyní dvěma) CVE souvisejícím s log4j, které jsme úspěšně zmírnili v našich produkčních prostředích. Nadále nezaznamenáváme žádné důkazy o zneužití.
Zasaženy byly tyto služby:
- ProjectWise Project Insight
- ProjectWise Portfolio Insight
- OpenCities Planner
Jak bylo uvedeno výše, zranitelnosti těchto služeb byly zmírněny a neexistuje žádný důkaz o jejich zneužití. Uživatelé těchto služeb hostovaných společností Bentley nemusí podnikat žádné kroky.
Kromě toho jsme doposud potvrdili, že žádný desktopový nebo serverový (on-premise) produkt společnosti Bentley nevyžaduje, aby uživatelé prováděli jakékoli akce týkající se zmírnění těchto chyb CVE. Tuto situaci budeme nadále sledovat a podle potřeby poskytovat příslušné aktualizace.
Tom Cibelli
Chief Information Security Officer (Ředitel pro Informační bezpečnost)
Bentley Systems
Předchozí aktualizace - 14. prosince 2021
Dne 9. prosince 2021 byla v knihovně pro protokolování v jazyce Java "log4j" nahlášena zranitelnost "Zero Day", která naznačuje, že knihovna může být náchylná ke škodlivým útokům typu RCE Remote Code Execution (RCE).
Jakmile byla společnost Bentley informována, naši bezpečnostní experti zahájili vyšetřování s cílem zjistit, zda tento útok ovlivnil naše systémy, produkty a/nebo služby. S potěšením oznamujeme, že v současné době společnost Bentley nenašla žádné důkazy o tom, že by naše systémy byly tímto útokem ohroženy nebo že by došlo k vniknutí do nich.
Společnost Bentley uplatňuje u všech svých systémů a služeb hloubkové obranné postupy s využitím technologií, které jsou vytvořeny pro detekci a zmírnění zneužití typu zero-day, včetně detekce a reakce na koncové body (Endpoint Detection and Response - EDR), heuristického antivirového softwaru a softwaru založeného na signaturách, jakož i nepřetržitého monitorování sítě. Tyto postupy jsou zavedeny tak, aby naši uživatelé mohli i během pokusu o kybernetický útok pracovat na plný výkon a s vědomím, že vaše práce bude chráněna.
Kromě monitorování narušení naše bezpečnostní týmy analyzují každý z našich produktů, aby se ujistily, že nebyly ohroženy. Pokud zjistíme jakékoli narušení našich produktů a systémů, okamžitě o tom budeme informovat uživatele, kterých se to týká.
Tým informační bezpečnosti společnosti Bentley bude tuto situaci nadále aktivně sledovat a reagovat na ni, stejně jako v případě všech bezpečnostních problémů. Uživatelům doporučujeme, aby sledovali náš program Common Vulnerability Exposure Program, který je průběžně aktualizován.
Jako uživatel produktů společnosti Bentley si můžete být jisti, že ochrana vašich dat je naší nejvyšší prioritou.
Tom Cibelli
Chief Information Security Officer (Ředitel pro Informační bezpečnost)
Bentley Systems
Další jazykové zdroje:
English
Polski
Italian
Deutsch