Casi el 90% de las aplicaciones Java tienen al menos un componente vulnerable

En los últimos doce meses se han registrado numerosas brechas en aplicaciones Java causadas por vulnerabilidades generalizadas de componentes de código abierto o comerciales.

Quizá te interese... Cómo debe ser el Centro de Datos de Nueva Generación Primeros pasos para proteger tu negocio 7 sugerencias para mejorar la carga de tu web o app Infraestructura hiperconvergente para oficinas remotas y sucursales Cómo superar los desafíos de TI en las pequeñas empresas La empresa digital: transformando las TI con nuevas infraestructuras

Este estudio realizado a partir de datos extraídos entre sus más de 1.400 clientes, muestra que un 88% de las aplicaciones Java contiene al menos un componente vulnerable que lo hace susceptible de sufrir un ataque generalizado. Esto se debe en parte a que menos del 28% de las compañías realizan regularmente un análisis de composición para conocer qué componentes forman parte de sus aplicaciones.

En este sentido, señala Chris Wysopal, jefe de tecnología de la compañía, explica que “el uso universal de componentes en el desarrollo de aplicaciones conlleva que cuando se descubre una vulnerabilidad en un componente, dicha vulnerabilidad tiene el potencial de impactar en miles de aplicaciones, haciendo que sean vulnerables con un único exploit”.

Un ejemplo de vulnerabilidad de un componente ampliamente usado fue el denominado Struts-Shock en marzo de este mismo año. De acuerdo con el análisis, el 68% de las aplicaciones Java que utilizan la librería Apache Struts 2 estaban usando una versión vulnerable del componente durante las semanas siguientes a los ataques iniciales y, en total, eran vulnerables un total de 35 millones de sitios.

El informe muestra también que el 53,3% de las aplicaciones Java están basadas en una versión vulnerable de componentes de las Commons Collections.

Según el jefe de tecnología, “los equipos de desarrollo no van a dejar de usar componentes, ni tampoco deberían hacerlo. Pero cuando un exploit se hace disponible, el tiempo es oro. Los componentes de código abierto y de terceros no son necesariamente menos seguros que el código desarrollado internamente, pero es importante mantener un inventario actualizado de las versiones que se utilizan de cada componente. Hemos visto ya bastantes brechas como resultado de componentes vulnerables, de modo que a no ser que las compañías empiecen a tomar en serio esta amenaza y utilicen herramientas para controlar el uso de componentes, pienso que el problema se intensificará”. 

El uso de componentes vulnerables es una de las tendencias más preocupantes en cuanto a seguridad de las aplicaciones analizadas en el estudio. Por ejemplo, según los datos del estudio, aunque muchas organizaciones dan prioridad a solventar las vulnerabilidades más peligrosas, algunas aún tienen dificultades para remediar eficientemente los problemas de software. Incluso los defectos más graves requieren mucho tiempo para ser resueltos (sólo el 22% de los defectos de alta gravedad se parchearon en 30 días o menos) y la mayoría de los atacantes aprovechan las vulnerabilidades a los pocos días de su descubrimiento, por lo que hay mucho margen de tiempo para potencialmente infiltrarse en una red empresarial.