Vulnerabilidades heredadas: omisión de las empresas y oportunidad para hackers

Las organizaciones deberían ser conscientes de que codificar software seguro no vale de nada cuando se siguen empleando componentes de código abierto con vulnerabilidades que pueden aprovechar los hackers.

En el proceso de implantación de un Ciclo de Vida de Desarrollo Software Seguro (SSDLC), aún es común encontrarse con desarrolladores de software o con empresas que incorporan en sus sistemas corporativos software desarrollado por terceros que obvian las vulnerabilidades directamente heredadas por el uso de componentes de código abierto (Open Source Software – OSS).

La situación es grave, ya que desde el momento que se publica una vulnerabilidad en un componente de código abierto hasta que se resuelve, los sistemas que empleen dicho componente permanecen expuestos.

Los hackers tienen acceso a las vulnerabilidades publicadas por el NIST en la NVD (National Vulnerability database), por lo que tan solo tienen que elegir y decidir en cuál de ellas centrarse. Cuentan con una carta muy extensa, integrada por más de 30.000 vulnerabilidades. Aparte de utilizarlas para sus actividades delictivas, hay algunos que adoptan un papel más didáctico, subiendo videos a YouTube en los que muestran al resto del mundo cómo explotar una determinada vulnerabilidad.

Según datos facilitados por Blackduck, ahora Synopsis, basados en los resultado de miles de análisis reales, la situación es alarmante:

  • El 92% de las vulnerabilidades se encuentran en el software
  • El 84% de los ataques ocurren en la capa de aplicación
  • El 67% de las aplicaciones contienen vulnerabilidades ya conocidas y públicas
  • El 40% de las vulnerabilidades detectadas en cada aplicativo son de nivel severo
  • El 100% de las empresas analizadas no son conscientes de todo el software de código abierto que emplean
  • Las vulnerabilidades de código abierto tardan en resolverse en promedio 1.894 días. En los análisis que MTP llevó a cabo durante 2017, siguen detectando aún HeartBleed, una vulnerabilidad que lleva registrada desde 2014.
  • Se detectan en promedio 22.5 vulnerabilidades en cada aplicación. MTP ha llegado a descubrir 144 vulnerabilidades en una única aplicación.

Ante esta situación, cabría preguntarse:

¿Por qué las organizaciones siguen empeñadas en destinar la mayor parte de su presupuesto a proteger el perímetro de su red, cuando está demostrado que la puerta de entrada preferida por los hackers son los aplicativos software?

En la actualidad, existen buenas soluciones comerciales capaces de detectar las vulnerabilidades de seguridad existentes en el software de código abierto y de instalar parches virtuales en tiempo real, para bloquear ciertos ataques en explotación hasta que una nueva versión del software resuelva las brechas de seguridad identificadas. Su adopción no es un tema insignificante, y las organizaciones deberían marcarlo como algo prioritario porque, entre otros beneficios, ayudaría evitar fugas de información.

 

N. de P MTP