jueves, 27 de febrero de 2014

Versiones obsoletas de Oracle Java y Microsoft XP crearán la “tormenta perfecta”


Java 6 es vulnerable desde 2013 y Windows XP dejarán de tener actualizaciones a partir de abril próximo. Trend Micro anuncia que esta situación resultará en 160 vulnerabilidades combinadas, sin parches ni actualizaciones disponibles.

Fuente: Diario TI 27/02/14 7:18:25

Trend Micro, proveedor mundial de seguridad en data center informa que la situación de seguridad de Java 6 empeoró en 2013 y que los ataques continuarán durante 2014.

Windows XP se sumará al sombrío panorama de vulnerabilidades graves cuando deje de tener actualizaciones en abril de 2014. El Resumen Anual de Amenazas 2013 de Trend Micro, muestra que se está desarrollando una “tormenta perfecta” cuando Java 6 y Windows XP dejen de tener actualizaciones, trayendo consigo 160 vulnerabilidades combinadas sin poder contar con “parches de seguridad”.

En primer lugar, se destaca en el análisis que en 2013 los ataques contra Java constituyeron el 91% y la mayoría de ellos basados en la Web. Eso no es sorprendente, dado que la proliferación de vulnerabilidades del malware día cero (Zero Day) afectaron todas las versiones de Java durante 2013. El informe también muestra que a finales de 2013, el 50% de todos los ataques dirigidos contra Java se enfocaron en dos vulnerabilidades que nunca fueron ‘parchados’ en Java 6: CVE- 2013-2465 (30 %) y CVE- 2013-2463 (20 %). Estas dos vulnerabilidades son relativamente nuevas, se dieron a conocer públicamente como parte del Informe Trimestral de “parches” de Oracle en junio de 2013. “El hecho es que dichas vulnerabilidades se dispararon para captar el 50% del “mercado” de ataques en tan poco tiempo, nos dice que los atacantes reconocen el valor en elegir como blanco las vulnerabilidades que nunca podrán ser parchadas”, Juan Pablo Castro, Director de Innovación de Trend Micro México.

Asimismo, el análisis destaca que el soporte para Java 6 terminó, y aunque las empresas tienen conocimiento de ello, el 76 % de las organizaciones continuaron utilizándolo. Y la cantidad de vulnerabilidades de Java 6 sin un parche disponible solo se acrecentará cada vez más ya que nunca tendremos un parche para aplicar. Para el término del tercer trimestre de 2013 (Q3 2013) se identificó que ya habían 31 vulnerabilidades sin parches para Java 6, por lo que se puede deducir que existen cerca de 60 vulnerabilidades sin parchar por año para Java 6.

En cuanto a Windows XP, software que dejará de dar soporte en abril del presente año, representó el 30% de los sistemas de Windows al término de 2013. Al igual que Java 6, Windows continuará siendo utilizado cuando termine de dar soporte y las vulnerabilidades sin parches se comiencen a acumular. Por lo tanto, se puede llegar a la conjetura de cuántas vulnerabilidades serán dadas a conocer para las versiones compatibles de Windows que llegará a afectar a Windows XP y que no serán parcheadas, de la misma manera que sucedió con Java 6 y CVE- 2013-2465 y CVE- 2013 a 2463.

Por otra parte, el conjunto de objetivos potenciales es grande también, ya que Windows XP probablemente se mantendrá por encima del 20% de los sistemas conectados a Internet por un tiempo. También la situación será peor en algunas industrias. Se estima que el 95% de los cajeros automáticos siguen ejecutando Windows XP y algunas empresas no tienen prisa por actualizarse, sabiendo que las vulnerabilidades son muchas y que las consecuencias pudieran ser grandes.

Con respecto a lo anterior, se puede concluir que la situación que estamos viviendo hoy en día con Java 6 y sus ataques también se dirigirán agresivamente tomando ventaja de las vulnerabilidades de Windows XP. “Algo que se tendrá que tener en cuenta, es que muchas de estas máquinas contarán con Windows XP y Java 6, los dos sistemas que serán el blanco a las vulnerabilidades sin “parches”, dando como resultado un aproximado de 160 vulnerabilidades combinadas sin parches por año propiciando la “tormenta perfecta” para los ‘cibercriminales’ que busquen comprometer las infraestructuras que tengan cuenten con estas plataformas”, puntualizó Castro.