El 88% de las aplicaciones Java son susceptibles de sufrir ataques

Un estudio CA Veracode muestra que menos del 28% de las organizaciones llevan a cabo un control activo de los componentes que podrían conducir a brechas de seguridad.

Veracode, Inc., compañía de seguridad del software adquirida por CA Technologies, ha dado a conocer las conclusiones de su informe “2017 State of Software Security Report”, un amplio estudio de los datos de pruebas de seguridad de aplicaciones derivados de los escaneos realizados por CA Veracode entre sus más de 1.400 clientes.

Entre otras tendencias del mercado, tales como el índice de resolución de vulnerabilidades o el porcentaje de aplicaciones con vulnerabilidades, el estudio desvela el riesgo que suponen los componentes de código abierto con vulnerabilidades. El estudio de CA Veracode muestra que un 88% de las aplicaciones Java contiene al menos un componente vulnerable que lo hace susceptible de sufrir un ataque generalizado. Esto se debe en parte a que menos del 28% de las compañías realizan regularmente un análisis de composición para conocer qué componentes forman parte de sus aplicaciones.

El uso universal de componentes en el desarrollo de aplicaciones conlleva que cuando se descubre una vulnerabilidad en un componente, dicha vulnerabilidad tiene el potencial de impactar en miles de aplicaciones, haciendo que sean vulnerables con un único exploit”, señala Chris Wysopal, CTO, CA Veracode.

En los últimos 12 meses se han registrado numerosas brechas en aplicaciones Java causadas por vulnerabilidades generalizadas de componentes de código abierto o comerciales. Un ejemplo de vulnerabilidad de un componente ampliamente usado fue el denominado “Struts-Shock” en marzo de 2017. De acuerdo con el análisis, el 68% de las aplicaciones Java que utilizan la librería Apache Struts 2 estaban usando una versión vulnerable del componente durante las semanas siguientes a los ataques iniciales.

Además de la información sobre las amenazas que supone el uso de componentes vulnerables, el estudio de CA Veracode extrajo otras conclusiones:

  • Las vulnerabilidades continúan creciendo a un ritmo alarmante en software no probado previamente. En un escaneo inicial, el 77% de las aplicaciones tiene al menos una vulnerabilidad
  • Los organismos oficiales tienen un rendimiento inferior que otros sectores. No solo muestran un índice de aprobado del 24,7% en el último escaneo, sino que mantienen el nivel más alto de prevalencia de vulnerabilidades altamente explotables, tales como “cross-site-scripting” (49%) e inyección SQL (32%).
  • Comparativamente, entre el primer y el último escaneo, la infraestructura crítica tiene el índice de aprobado OWASP más fuerte (29,8%) de todos los sectores analizados, pese a que experimentaron una ligera disminución (29,3%) respecto al último escaneo. Dos de los sectores que obtuvieron pequeñas mejoras entre el primer y el último escaneo son el sector sanidad (27,6% frente al 30,2%), así como comercio y hostelería (26,2% frente al 28,5%).

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba