Con el tiempo, Java se ha convertido en omnipresente en los puntos finales, por lo que "ejecutar en cualquier lugar" puede ser interpretado como una referencia a su ubicuidad.
A pesar de que un menor número de sitios web y aplicaciones web requieren Java para funcionar adecuadamente, la tecnología es un fenómeno generalizado en prácticamente todos los sistemas del usuario final. Por esta razón, Java se ha convertido en una plataforma que es altamente vulnerable a los ataques.
En 2013, el equipo de investigación de Bit9 analizó las estadísticas de despliegue Java en aproximadamente un millón de puntos finales en cientos de empresas en todo el mundo.
Aspectos destacados de los resultados fueron:
La organización promedio tenía más de 50 versiones distintas de Java. El cinco por ciento de las organizaciones cuentan con más de 100 versiones de Java instaladas. Por lo general, las organizaciones que tienen un menor número de versiones totales de Java dentro de su entorno son los que tienen dispositivos de función fija más, que por lo general no tienen ninguna versión de Java instalada.
La mayoría de los puntos finales tenían numerosas iteraciones de Java instalado, en parte debido a que el proceso de instalación y actualización de Java a menudo no elimina las versiones antiguas.
Los atacantes pueden determinar qué versiones de Java se está ejecutando una empresa y orientar las versiones más antiguas, más vulnerables.
La versión más popular de Java que se ejecutan en los puntos finales en el momento del análisis de Bit9 fue la versión 6 Update 20, que estuvo presente en nueve por ciento de todos los sistemas y tiene 96 vulnerabilidades conocidas de la más alta gravedad.
Menos de uno por ciento de las empresas fueron ejecutando la última versión de Java.
Las organizaciones siguen siendo detrás de la curva en parches Java. Normalmente, se tarda una organización entre tres y nueve meses para aplicar los parches de Java debido a la extensa pruebas de control de calidad que necesitan para llevar a cabo antes de la aplicación de cada parche.
Si no fuera por el hecho de que los hackers han estado prestando mucha atención a las vulnerabilidades de Java, esto sería un problema menor. A principios de 2013, las vulnerabilidades de Java impulsaron US-CERT para alentar al público para desactivar Java a menos que sea necesario.
Sin embargo, la desactivación de Java no es tan fácil para algunas organizaciones como suena. Es similar al hecho de que es fácil para los usuarios domésticos para actualizar su sistema operativo Windows durante la noche, pero a menudo toma corporaciones años para planificar y poner en práctica esta medida.
Una historia de ataques relacionados con Java
Hay muchos ejemplos de ataques con Java que una simple búsqueda en Internet se mostrará. Los siguientes son algunos de los ataques que tienen aspectos únicos e interesantes:A principios de 2012, el malware de Troya fue descubierto infectar ordenadores Mac y la creación de una red de bots de los extremos basados en Mac. Este malware fue notable por ser la más grande amenaza escala para la plataforma Mac para esa fecha, de acuerdo con la Macworld.
La relativa facilidad de creación de malware en Java, y la capacidad de construir con sólo una pequeña cantidad de código específico de la plataforma, pueden haber ayudado a los atacantes.
Otro ejemplo de las amenazas relacionadas con Java en la naturaleza fue identificado en mayo de 2013. Este ataque dirigido una vulnerabilidad de día cero en Internet Explorer. Sin embargo, la primera acción tomada por el código malicioso, según el análisis de AlienVault Labs, fue para enumerar todas las versiones de Java en la estación afectada.
Muy probablemente este paso de reconocimiento se pretende garantizar la capacidad de poner en peligro la acogida de nuevo en el futuro si, por ejemplo, la vulnerabilidad de día cero fue parcheado mediante el mecanismo de actualización de Windows.
También es interesante notar que los atacantes al parecer utilizan código directamente tomada del Deployment Toolkit Java.
¿Cómo reducir los riesgos relacionados con Java
Entonces, ¿qué se puede hacer para reducir la probabilidad de un ataque relacionado con Java?
En primer lugar, evaluar si Java es necesario para su organización. Muchos en la comunidad de seguridad Instar a la eliminación generalizada y completa de Java desde todos los puntos finales. Esta opción es a menudo difícil de aplicar en la práctica, sin embargo, porque las herramientas para la gestión de Java en la empresa son insuficientes.
Si se elige la eliminación, desarrollar un plan. Considere herramientas que pueden bloquear la ejecución de un programa basado en el nombre o hachís en el punto final, como primer paso rápido hacia el objetivo final de la eliminación.
Utilice las herramientas de gestión de software para eliminar las instancias de Java. Además, cerrar el bucle - es decir, auditar el software en su empresa para confirmar la eliminación de Java. Por último, considere el uso de soluciones de seguridad de red, tales como los que tienen la capa 7 visibilidad para buscar evidencia de Java basada en navegador.
Monitor para la instalación y el uso de Java en el entorno inesperado.
Al utilizar datos NIST para encontrar información sobre la vulnerabilidad, tenga en cuenta que el software y vulnerabilidades no siempre se registran de forma coherente. Por ejemplo, algunas vulnerabilidades figuran con el producto "Java", mientras que otros (la mayoría de hecho) se presentan bajo el producto "JRE".
Conclusión
Durante los últimos 15 años más o menos, los administradores de TI han estado bajo la idea errónea de que la actualización de Java abordaría sus problemas de seguridad. Se les ha dicho que para mejorar la seguridad, deben instalar de forma continua y agresiva actualizaciones de Java en todos sus extremos.
Desafortunadamente, la instalación no es la misma que la actualización. Como resultado, la mayoría de las organizaciones tienen varias versiones de Java en sus puntos finales, incluyendo algunos que fueron puestos en libertad al mismo tiempo que Windows 95.
No sólo es Java ampliamente instalado en la mayoría de las empresas, en la mayoría de los casos es altamente vulnerable. Java sigue siendo una tecnología necesaria para muchas empresas, pero su ubicuidad parece estar fuera de toda proporción con sus actuales casos de uso del negocio.
Datos de Bit9 parece demostrar las razones detrás de nuevo estatus privilegiado de Java entre los atacantes. Hasta ahora muchas empresas han tardado en responder adecuadamente a esta tendencia, pese a la evidencia de que hacerlo sería, para muchos, reducir sustancialmente su exposición a los ataques con éxito más comunes de hoy en día.
Recientes ataques de alto perfil siguen demostrando que las empresas deben ver Java como un riesgo de seguridad importante.
Las empresas pueden beneficiarse de una mejor caracterización y comprensión de las aplicaciones que se ejecutan en los puntos finales de su entorno, para que puedan evaluar los riesgos a los criterios de valoración y priorizar de manera más eficaz los esfuerzos de remediación. En el futuro, la visibilidad en tiempo real y la protección de puntos finales y servidores serán esenciales.
0 comentarios:
Publicar un comentario