0

Las aplicaciones Java, un agujero negro de vulnerabilidades

seguridad-vulnerabilidad-falloUn estudio de CA Technologies revela que un 88% de las aplicaciones Java contiene al menos un componente vulnerable que lo hace susceptible de sufrir un ataque generalizado.

A pesar de las ventajas que presentan los componentes en código abierto, éstos presentan numerosos riesgos para la seguridad. Así se desprende de un estudio realizado por Veracode, compañía propiedad de CA Technologies, que asegura que un 88% de las aplicaciones Java contiene al menos un componente vulnerable que lo hace susceptible de sufrir un ataque generalizado. Esto se debe, según cita el propio informe, a que menos del 28% de las compañías realizan regularmente un análisis de composición para conocer qué componentes forman parte de sus aplicaciones.

“El uso universal de componentes en el desarrollo de aplicaciones conlleva que cuando se descubre una vulnerabilidad en uno de ellos, dicha vulnerabilidad tiene el potencial de impactar en miles de aplicaciones con un único exploit”, ha señalado Chris Wysopal, CTO de CA Veracode, en relación con el estudio de los datos de pruebas de seguridad derivados de los escaneos realizados por la compañía entre sus más de 1.400 clientes.

Un ejemplo de vulnerabilidad de un componente ampliamente usado fue el denominado Struts-Shock en marzo de 2017. El 68% de las aplicaciones Java que utilizan la librería Apache Struts 2 usaron una versión crítica durante las semanas siguientes a los ataques iniciales. Esta brecha permitió ataques de ejecución de código remoto mediante la inyección de comandos a los que eran vulnerables un total de 35 millones de sitios. Así, los cibercriminales pudieron entrar en organizaciones como la Agencia Tributaria de Canadá o la Universidad de Delaware.

Asimismo, el escrito asegura que el 53,3% de las aplicaciones Java están basadas en una versión vulnerable de componentes de las Commons Collections.

IDG.es

Ordenado por: Apps Tags: 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 9747 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB