El ecosistema JavaScript es el más extendido en las webs modernas y sus repositorios pueden llegar a contener más de 100.000 librerías diferentes, aunque las más utilizadas con, principalmente, jQuery, Angular, Handlebars, Bootstrap, Modernizr, Moment y LoDash. Sin embargo, tanta variedad de librerías está poniendo en peligro la seguridad de los usuarios y de los servidores de páginas web, ya que más del 37% de las páginas web utilizan librerías obsoletas o desactualizadas que ponen en peligro la seguridad del servidor.
Un reciente estudio realizado por la College of Computer and Information Science ha demostrado que más de un tercio de las páginas web disponibles utilizan librerías JavaScript desactivadas que tienen, al menos, una o más vulnerabilidades conocidas y que están poniendo en peligro tanto a los usuarios como al propio servidor. Además, el estudio también ha demostrado que muchas páginas web utilizan librerías como SWFObject y YUI que, desde hace tiempo, ya no tienen mantenimiento y cuentan con vulnerabilidades conocidas.
Además de las librerías instaladas en el propio servidor, las librerías cargadas por terceras aplicaciones, como extensiones, plugins o widgets, utilizan también versiones obsoletas de JavaScript que ponen en peligro a los usuarios.
JavaScript cada vez se utiliza más, y los desarrolladores cada vez tienen menos tiempo para solucionar estas vulnerabilidades. Debemos tener en cuenta que este lenguaje de programación no se utiliza solo, por ejemplo, para habilitar un carrusel de noticias en la cabecera de un blog como hace varios, años, sino que ahora mismo es capaz de encargarse del cifrado, de los gráficos 3D e incluso de gestionar aplicaciones móviles.
No solo JavaScript pone en peligro las webs. Los peligros de usar software desactualizado en webs y servidores conectados a Internet
No es la primera vez que los piratas informáticos empiezan a atacar en masa a las páginas web y servidores que utilicen software desactualizado, y tampoco será la última. Sin ir más lejos, por ejemplo, hace poco, millones de páginas web fueron atacadas a través de una vulnerabilidad en WordPress por no hacer instalado la versión más reciente que solucionaba dicha vulnerabilidad.
Ayer, por ejemplo, también hablábamos de un nuevo exploit que aparecía en la red y que permitía ejecutar código remoto en los servidores que utilizaban Apache Struts y que no habían instalado la última versión de dicha herramienta.
Algunos desarrolladores no se toman en serio la seguridad de sus servidores, y es que, por ejemplo, ya han pasado 5 años desde el descubrimiento de Heartbleed, la que probablemente haya sido la peor brecha de seguridad de la historia de Internet y, a día de hoy, aún hay más de 200.00 servidores que utilizan una versión de OpenSSL vulnerable de hace más de 5 años.
Utilizar software obsoleto y desactualizado es muy peligroso, sobre todo cuando se ejecuta en servidores, ya que son los más atacados por piratas informáticos para poder tomar el control de ellos, instalarles malware e incluso si guardan información de los usuarios, robarla para, posteriormente, venderla en el mercado negro.
Mantener todo el software de un servidor actualizado, además de garantizar el mejor rendimiento posible, nos ayuda a mantener nuestra información, y la de nuestros usuarios, seguras en un Internet cada vez más peligroso.
Fuente:https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
