Un equipo de seguridad en Google menciona haber escaneado Maven Central, el repositorio de paquetes de Java más importante actualmente, descubriendo que un total de 35,863 paquetes Java usan versiones vulnerables de la biblioteca Log4j, desarrollada por Apache Software Foundation.
Las implementaciones afectadas son vulnerables a CVE-2021-44228 y CVE-2021-45046, identificadores asociados con la falla original en la biblioteca Java y el error de ejecución remota de código (RCE) descubierto recientemente.
El informe de los investigadores de Google Open Source Insights menciona que, por lo general, al detectar una falla en Java solo llega a verse afectado cerca del 2% del índice Maven Central. No obstante, esta falla reside en más de 35,000 paquetes Java vulnerables, lo que equivale a cerca del 8% del total de Maven Central.
James Wetter y Nicky Ringland, de Google, mencionaron que la comunidad ha respondido positivamente a su reporte, pues al momento de redacción de este artículo ya habían sido corregidos más de 4,500 paquetes, que equivalen al 13% de implementaciones vulnerables.
Ambos investigadores citan estadísticas similares para fallas de seguridad pasadas de Java, donde aproximadamente el 48% de las bibliotecas ascendentes y descendentes se actualizan para corregir vulnerabilidades. Sin embargo, esperan que el problema de Log4Shell se solucione por completo, un proceso que demorará unos cuantos años.
La razón principal de esto es que Log4j no siempre se incluye como una dependencia directa dentro de los paquetes de Java, sino que también es una dependencia de otra dependencia, también conocida como dependencia indirecta. En estos casos, los mantenedores de paquetes Java vulnerables tienen que esperar a otros desarrolladores antes de poder actualizar sus propias aplicaciones, por lo que los procesos de parcheado demoran demasiado.
Según Google, Log4j es una dependencia directa en solo 7,000 paquetes de las 35,000 bibliotecas totales, y es muy probable que muchos desarrolladores de Java tengan que cambiar dependencias indirectas que no se hayan actualizado con alternativas seguras.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad