Veracode, compañía adquirida por CA Technologies y que está especializada en seguridad informática, ha dado a conocer las conclusiones de su informe 2017 State of Software Security Report, que ha analizado el estado de las aplicaciones de los más de 1.400 clientes que tiene Veracode en el mundo. El estudio destaca el riesgo que suponen los componentes de código abierto con vulnerabilidades, y muestra que un 88% de las aplicaciones Java contiene al menos un componente vulnerable que lo hace susceptible de sufrir un ataque generalizado. Esto se debe en parte a que menos del 28% de las compañías realizan regularmente un análisis de composición para conocer qué componentes forman parte de sus aplicaciones.
“El uso universal de componentes en el desarrollo de aplicaciones conlleva que cuando se descubre una vulnerabilidad en un componente, dicha vulnerabilidad tiene el potencial de impactar en miles de aplicaciones, haciendo que sean vulnerables con un único exploit”, señala Chris Wysopal, responsable técnico de Veracode.
En los últimos 12 meses se han registrado numerosas brechas en aplicaciones Java causadas por vulnerabilidades generalizadas de componentes de código abierto o comerciales. Un ejemplo de vulnerabilidad de un componente ampliamente usado fue el denominado “Struts-Shock” en marzo de 2017. De acuerdo con el análisis, el 68% de las aplicaciones Java que utilizan la librería Apache Struts 2 estaban usando una versión vulnerable del componente durante las semanas siguientes a los ataques iniciales.
Esta vulnerabilidad crítica de la librería Apache Struts 2 permitió ataques de ejecución de código remoto (RCE por sus siglas en inglés) mediante la inyección de comandos, a los que eran vulnerables un total de 35 millones de sitios. Utilizando esta vulnerabilidad, los cibercriminales pudieron explotar una amplia gama de aplicaciones de las organizaciones atacadas, en especial las de la Agencia Tributaria de Canadá o la Universidad de Delaware.
El estudio de CA Veracode muestra también que el 53,3% de las aplicaciones Java están basadas en una versión vulnerable de componentes de las Commons Collections. A día de hoy, el número de aplicaciones que utilizan versiones vulnerables es el mismo que había en 2016. El uso de componentes en el desarrollo de aplicaciones es práctica común, ya que permite a los desarrolladores reutilizar código funcional y acelerar así la entrega de software. Según algunos estudios, hasta el 75% del código de una aplicación típica está formado por componentes de código abierto.
Según Wysopal “los equipos de desarrollo no van a dejar de usar componentes, ni tampoco deberían hacerlo. Pero cuando un exploit se hace disponible, el tiempo es oro. Los componentes de código abierto y de terceros no son necesariamente menos seguros que el código desarrollado internamente, pero es importante mantener un inventario actualizado de las versiones que se utilizan de cada componente. Hemos visto ya bastantes brechas como resultado de componentes vulnerables, de modo que a no ser que las compañías empiecen a tomar en serio esta amenaza y utilicen herramientas para controlar el uso de componentes, pienso que el problema se intensificará”.
El uso de componentes vulnerables es una de las tendencias más preocupantes en cuanto a seguridad de las aplicaciones analizadas en el estudio. Por ejemplo, según los datos del estudio, mientras que muchas organizaciones dan prioridad a solventar las vulnerabilidades más peligrosas, algunas aún tienen dificultades para remediar eficientemente los problemas de software. Incluso los defectos más graves requieren mucho tiempo para ser resueltos (sólo el 22% de los defectos de alta gravedad se parchearon en 30 días o menos) y la mayoría de los atacantes aprovechan las vulnerabilidades a los pocos días de su descubrimiento, por lo que hay mucho margen de tiempo para potencialmente infiltrarse en una red empresarial.
