Los productos SEL no son susceptibles a la vulnerabilidad de ejecución de código remoto de la biblioteca de Java Apache Log4j 2 (CVE-2021-44228). Poco después de revelarse la vulnerabilidad, el Equipo de Respuesta a Incidentes de Seguridad de Productos de SEL (PSIRT) comenzó un análisis producto por producto que confirmó que la biblioteca Log4j 2 no está presente en ningún producto de SEL.
SEL distribuye notificaciones clasificadas como “vulnerabilidad de seguridad” a los usuarios finales, tanto directamente como a través de nuestro personal de ventas. Los usuarios finales de productos de SEL también pueden inscribirse para recibir notificaciones de vulnerabilidades de seguridad por correo electrónico, que incluye información sobre cómo mitigar sus riesgos.
Nota: Para recibir notificaciones de vulnerabilidades de seguridad por correo electrónico, debe tener una cuenta de correo electrónico corporativo cuyo dominio SEL reconozca como cliente final. Si también le gustaría recibir correos electrónicos de notificación sobre vulnerabilidades en un buzón de correo corporativo designado, envíe una solicitud a security@selinc.com.
Cuando reciba una actualización de software de SEL, estará firmada digitalmente para que pueda verificar que no ha sido alterada o manipulada.
Verifique una descarga de software SEL.
Proporcionamos herramientas de firmware que puede usar para ver la versión de firmware más reciente para sus productos, verificar la integridad del firmware de un dispositivo y verificar la integridad de los nuevos archivos de firmware.
Verifique la versión y la integridad del firmware.
Desde su fundación en Pullman, Washington, en 1982, SEL ha llevado a cabo sus operaciones de negocios siguiendo un sólido conjunto de valores fundamentales: calidad, enfoque en el cliente, disciplina, comunicación, integridad, creatividad, comunidad, responsabilidad y dignidad en el trabajo. Hemos aplicado estos valores en todo lo que hacemos, incluida la seguridad de los productos y la cadena de suministro, que ha sido una prioridad en SEL durante más de 35 años.
Nuestro objetivo siempre será inventar, diseñar y construir productos seguros para proteger la infraestructura crítica. Cuando se encuentra una vulnerabilidad, evaluar el riesgo rápidamente e informar a los clientes es fundamental para mantener la confianza que hemos trabajado décadas para ganar. SEL no fabrica productos con ninguna forma de mecanismo de derivación de autenticación no documentada ni canal de comunicación no divulgado.
Puesto que el ciclo de vida de un producto de SEL con frecuencia se mide en décadas, y puesto que protege o controla infraestructura crítica en un entorno de amenazas en cambio constante, comprendemos nuestra responsabilidad y la necesidad de vigilancia constante. También comprendemos que la aplicación de correcciones en entornos de tecnología operativa con frecuencia en costosa para nuestros clientes. Nuestro compromiso es actuar siempre con urgencia y transparencia en todo el proceso de divulgación y reparación, y minimizar los riesgos en cada instancia.
Revelamos información suficiente sobre una vulnerabilidad para permitir a nuestros clientes evaluar correctamente y mitigar los riesgos sin la divulgación innecesaria de información que podría dar ventaja a un adversario. Nunca divulgaremos a sabiendas vulnerabilidades de modo tal que pudiera favorecer a un posible atacante, y siempre proporcionaremos una divulgación a los clientes antes de cualquier otra declaración.
El Equipo de Respuesta a Incidentes de Seguridad de los Productos de SEL (PSIRT) evalúa cada reporte de un problema de seguridad con productos de SEL, ya sea que esos reportes provengan de SEL como parte de nuestro proceso de mejora continua o de un informante externo. El PSIRT, con el respaldo de la dirección ejecutiva, tiene en cuenta varios factores para evaluar el riesgo que representa una vulnerabilidad, y calibra la urgencia de una corrección y los recursos dedicados a ella, entre ellos:
Las vulnerabilidades se revelan a los clientes de dos maneras:
SEL responde de inmediato a cualquier vulnerabilidad significativa que afecte a un producto de SEL que tenga probabilidades de ser explotado activamente. Rápidamente proporcionaremos indicaciones para la mitigación, seguidas de cualquier revisión o mejora necesaria.
Envíe su pregunta sobre la seguridad de los productos o servicios de SEL.