Más del 80% de las instalaciones de Java en empresas se corresponden con versiones obsoletas
La firma de seguridad Bit9 ha publicado un interesante informe donde se analiza el estado de java en el mundo empresarial. Este informe, con título "Java Vulnerabilities Report: Write Once, Pwn Anywhere", se basa en el análisis de más de 1 millón de equipos empresariales que tienen instalado el software de reputación de Bit9; estos equipos pertenecen a cerca de 400 organizaciones diferentes.
Según este informe, la versión de Java que uno más comúnmente se encuentra en el mundo empresarial, presente en el 82% de los equipos, es Java 6, una versión que ha llegado a su EOF y que, por tanto, no se está parcheando. De entre todas las versiones de Java, Java 6 Update 20 es la más popular, presente en cerca del 10% de los equipos. En la actualidad esta versión tiene 215 fallos de seguridad conocidos, 96 de los cuales son críticos.
En el momento de recoger los datos de este informe la última versión disponible de Java era Java 7 Update 21; es decir, esta es la última versión de Java para la cual no se conocían vulnerabilidades de modo público y por tanto, la única para la cual en teoría no hay exploits. Esta versión estaba presente en 0.25% de los equipos.
Otro dato curioso del informe es que una gran cantidad de equipos empresariales tiene múltiples versiones de Java instaladas; el 42% de los equipos tenía más de dos versiones de Java instaladas, y el 20% tenía más de tres versiones de Java instaladas. La empresa promedio tenía más de 50 versiones diferentes de Java instaladas en toda la organización.
Uno de los problemas que tiene esto es que un atacante podría atacar a la versión más antigua de Java, y que probablemente la empresa sólo está actualizando la versión más moderna. Muchas de estas versiones obsoletas de Java se correspondían con Java 5, ya que al realizar una actualización de Java 6 o 7 no se elimina la versión anterior de Java 5.
Si bien Bit9 tiene motivos para "tratar de meterle el miedo en el cuerpo" a las empresas y probablemente estos datos está un poco sesgados hacia lo catastrófico, si creo que representan bastante bien cuál es la actual situación de Java en la empresa. ¿Qué opinais vosotros?
Reader Comments (4)
Suena razonable este número, pero al mismo tiempo, el riesgo real es ínfimo y despreciable. La mayoría (por no decir todos los proyectos que conozco, porque siempre hay alguna excepción) de los proyectos Java son Web. Como tales, lo que corra el servidor poco importa, más bien habría que ver que no haya agujeros de seguridad en el front-end y en el framework utilizado allí.
Que haya un agujero de seguridad en algo no expuesto, aunque no es deseable, no es grave (primero habría que acceder a dicho nivel!). Graves son las vulnerabilidades expuestas y explotables. Ejemplo: muchas vulnerabilidades que sufrió Struts en su historia aunque pocas instalaciones lo actualizaron, eso si que es grave. O vulnerabilidades el servidor de aplicaciones y/o en Apache. Ahí los quiero ver. Poco importa si debajo de todo esto hay un "obsoleto" Java 5/6, o el último Java 7, que es interno al servidor y no explotable.
Por supuesto que no es conveniente dejar software sin actualizar, porque podría usarse para escalar, pero si el JRE es interno, queda el riesgo es muy limitado, o nulo según el caso.
es falta de oracle a no hacer mas mercadeo en las empresas y hogares de la importancia de las actualizaciones, y, al momento de actualizar también debería detectar las versiones antiguas y proponer al usuario que el instalador elimine las versiones antiguas si el lo desea.
hay también que tener en cuenta que muchas empresas tienen software funcionando en versiones de java muy antiguas, conozco una muy grande (me reservo el nombre) que increíblemente aun trabajan con java 1.3 y no tienen planes de actualizarse. para estos casos es donde se encuentra el mayor problemas, quizá permitiendo que las actualizaciones se preconfiguren permitiendo decidir que versiones quieren dejar y trasmitir la actualización por la red empresarial.
Concuerdo con lo que han dicho acerca de las actualizaciones, si es a lo interno el ataque tendría que originarse dentro de la red y no desde fuera.
Las debilidades graves son aquellas que podrían presentar los servidores. Alerta On
Me ha tocado que varios servicios públicos en linea que prestan los gobiernos de algunos estados(México) te solicitan y te instalan JRE 1.3 y son applets... Algunos son sistemas de Oracle que podría fácilmente desarrollarlo algún estudiante en PHP. Por ejemplo un servicio para solicitar y confirmar una cita medica.