miércoles, 11 de abril de 2012

CIBERCRIMEN

EL LADO OSCURO DE JAVA

Al convertirse Java en el nuevo objetivo favorito de los cibercriminales, Metasploit agrega nuevo módulo para contrarrestar último ataque a Java.

Por Kelly Jackson Higgins
Dark Reading

Desde el punto de vista del desarrollador es una herramienta en decadencia, pero Java sigue siendo una presencia importante en los computadores -aunque eso sea a menudo olvidado- los cuales están siendo cada vez más el blanco de ataque de los malos.

¿Por qué Java como un vector de ataque?

Su popularidad y el número excesivo de versiones anticuadas existentes en computadores por ahí, están haciendo de Java el sombrero negro de elección del hacker últimamente. Los números lo dicen todo: unos 80 sistemas empresariales corren versiones desactualizadas, no parchadas de Java, de acuerdo con los datos de Qualys. Y desde el tercer trimestre de 2010, Microsoft ha detectado o bloqueado alrededor de 6.9 millones de intentos de explotación de Java cada trimestre, para un total de 27.5 millones intentos de explotación durante ese período de 12 meses.

En general, 3 mil millones de dispositivos y el 80 por ciento de los navegadores en todo el mundo usan Java. Mientras tanto, algunos usuarios conocedores de seguridad lo están deshabilitando o desinstalando por completo, como medida de precaución.

Los desarrolladores de la ampliamente popular herramienta para penetración de prueba, Metasploit, de código abierto, esta semana añadieron un nuevo módulo para contrarrestar el último ataque a Java que abusa de una vulnerabilidad parchada recientemente en Rhino, la implementación Java de Oracle. La falla en Oracle Java SE JDK y JRE 7 y la actualización 27 de 6 y versiones anteriores, que inicialmente fue publicado por los investigadores en unos cuantos sitios, luego fue rápidamente implementado en un kit de software de actividades ilegales, como descubrió el bloguero Brian Krebs. Krebs On Security informó que el ataque estaba siendo incluido también dentro del kit de software cibercriminal BlackHole.

"Java está en todas partes, y nadie lo actualiza correctamente", asevera HD Moore, creador y arquitecto jefe de Metasploit y CSO en Rapid7. "Muy pocas empresas lo actualizan en sus computadores".

Oracle ofrece una función de actualización automática para Java, pero requiere privilegios de administrador para el usuario poder utilizarlo, algo que la mayoría de las empresas no permiten, dice Moore.

El director de computación confiable de Microsoft, Tim Rains, a principios de esta semana señaló en un blog que las fallas parchadas en el software Java de Oracle han estado bajo asedio durante meses. "Las vulnerabilidades en el software Java de Oracle han estado bajo ataque en una escala relativamente grande durante muchos meses y, como ya he mencionado, las actualizaciones de seguridad para estas vulnerabilidades han estado disponibles por algún tiempo", dijo Rains. "Si usted no ha actualizado Java en su entorno recientemente, debe evaluar los riesgos actuales".

Entre otras cosas, las organizaciones deben estar conscientes de que podrían tener varias versiones de Java funcionando, dijo.

El error de Java de Oracle, que fue parcheado por Oracle el mes pasado, básicamente permite a un applet de Java ejecutar código arbitrario fuera del entorno limitado de Java. Moore, de Rapid7 dice que el llamado explotador de Java Rhino (el cual funciona en múltiples plataformas, incluyendo Windows, iOS y Linux) trabaja en el fondo, sin el conocimiento del usuario afectado por el explotador. Interesante, Linux es más vulnerable al ataque en estos momentos: "Oracle lo parchó; Apple empujó una actualización a nivel de software, pero la mayoría de proveedores de Linux... no han empujado las actualizaciones", dice Moore.

Se utiliza normalmente como un primer paso en un ataque de varias etapas, para descargar un archivo ejecutable o instalar un bot.

Wolfgang Kandek, CTO de Qualys, dice que tener a Metasploit lidiando con el último explotador ayudará a crear conciencia sobre los peligros de las aplicaciones obsoletas de Java. "El beneficio de tenerlo en Metasploit es que los buenos pueden demostrar cómo estos ataques funcionan", agregó.

Muchas de las organizaciones encontradas utilizando aplicaciones obsoletas de Java en los datos de clientes de Qualys, eran grandes empresas, dijo. "Existe la tendencia a no haber ningún proceso bueno de parches para Java. Este vuela bajo el radar", dice.

¿Qué tal si se deshabilitara Java totalmente? Kandek dice que él no lo usa, y se puede sobrevivir sin él. "Sin embargo, algunas empresas lo necesitan, y ellos deben encontrar la manera de asegurarse que están utilizando la última versión de la misma", agrega.

No hay comentarios: