He encontrado un artículo bastante interesante, la fuente es DarkReading.com y el autor es Kelly jackson Higgins. Les dejo la traducción del mismo:
El Lado Oscuro de Java
Metasploit añade nuevo módulo para los más recientes ataques en Java cuando Java se convierte en el nuevo objetivo favorito de los cibercriminales
Dic 01, 2011 | 08:08 PM
Por Kelly Jackson Higgins
Dark Reading
Es una herramienta decadente por parte de los desarrolladores, pero Java permanece como una principal y todavía frecuentemente olvidada presencia en los ordenadores que resulta cada vez más el objetivo de los villanos.
¿Por qué Java como un vector de ataque?
Su penetrabilidad y el número desmedido de versiones anticuadas corriendo ahí afuera en los ordenadores están haciendo de Java el sombrero negro de elección de los hackers últimamente. Los números lo dicen todo: unos 80 sistemas empresariales corren versiones desactualizadas, no parcheadas de Java, de acuerdo con los datos de Qualys. Y desde el tercer cuarto de 2010, Microsoft ha detectado o bloqueado aproximadamente 6.9 millones de intentos de exploits sobre Java cada cuarto, con un total de 27.5 millones de intentos de exploits durante ese período de 12 meses.
En general, 3 mil millones de dispositivos usan Java en el mundo, y 80% de los navegadores lo hacen. Mientras tanto, algunos usuarios muy conocedores de seguridad lo están deshabilitando o desinstalándolo totalmente como precaución.
Desarrolladores de la ampliamente popular herramienta de prueba de penetración de Matasploit de código abierto, agregaron esta semana un nuevo módulo para el más reciente ataque Java que abusa de una vulnerabilidad recientemente parcheada en la implementación de Java de Oracle, Rhino. La falla en Oracle Java SE JDK y JRE 7 y 6 actualización 27 y versiones anteriores, que inicialmente fue anunciada por investigadores aquí y aquí y después fue rápidamente fructificada dentro de un kit de crimeware cladestino, como descubrió el bloguero Brian Krebs en su sitio web. Krebs On Security reportó que el ataque también estaba siendo corrido dentro del kit de crimeware BlackHole.
«Java está donde quiera, y nadie lo actualiza adecuadamente«, asevera HD Moore, creador y arquitecto jefe para Metasploit y CSO en Rapid7. «Muy pocas empresas lo actualizan en sus ordenadores.»
«Oracle si ofrece una función de auto-actualización para Java, pero requiere privilegios de administración para que el usuario del ordenador la utilice, algo que la mayoría de las empresas no permite«, dice Moore.
El director de Computación Confiable de Microsoft, Tim Rains, a inicios de esta semana apuntaba en un post que los fallos parcheaos en el software Java de Oracle han estado bajo asedio por meses. «Las vulnerabilidades en el software Java de Oracle han estado siendo atacadas a una escala relativamente grande por varios meses y, como ya mencionaba, las actualizaciones de seguridad para estas vulnerabilidades han estado disponibles por algún tiempo,» dice Rains. «Si usted no ha actualizado Java en su entorno recientemente, debería evaluar los riesgos presentes. Entre otras cosas, las organizaciones necesitan estar conscientes de que pueden tener múltiples versiones de Java corriendo«, dice.
La falla de Java de Oracle, que fue parcheada por Oracle el mes pasado, básicamente permite a un applet de Java correr código arbitrario fuera de la caja de arena de Java. Moore de Rapid7 dice que la llamada Java Rhino Exploit (que trabaja sobre múltiples plataformas, incluyendo Windows, iOS y Linux) ocurre en segundo plano, de manera inconsciente para el usuario golpeado por el exploit. Interesante, Linux es ahora mismo más vulnerable al ataque. «Oracle lo parcheó, Apple exigió una actualización a nivel de software. Pero la mayoría de los vendedores proveedores de Linux
no han exigido actualizaciones«, dice Moore.
Esto es típicamente utilizado como una primera etapa en un ataque multi-etapas, usado para descargar un archivo ejecutable o intalando un bot.
Wolfgang Kandek, CTO de Qualyx, dice tenier Metasploit soportando el último exploit ayudaría a elevar la conciencia sobre el peligro de apps de Java desactualizadas. «Los beneficios de tenerlo en Metasploit es que los chicos buenos pueden demostrar como este [ataque] funciona«, dice él.
Muchas de las organizaciones encontradas corriendo apps de Java desactualizadas en los datos de los clientes de Qualys eran grandes empresas, dice. «Existe la tendencia de no haber buenos procesos para parchear Java. Él vuela bajo el radar«, dice.
———– Y aquí termina el artículo.
Sin lugar a dudas, esto tiene mucho que ver con lo que antes le comentábamos… o sea, respecto a que Canonical dejará de ofrecer Java de Oracle en sus repositorios (Ubuntu, Kubuntu, Xubuntu, etc), pues obviamente, si Oracle no permite que se incluyan actualizaciones, no vale la pena, pues el usuario sería demasiado vulnerable a ataques como los antes mencionados.
En fin, ¿qué piensas al respecto?
Saludos
PD: Justamente ayer estaba leyendo un tutorial sobre que es posible instalar Linux en mi Nokia N70, aún no decido hacerlo LOL!!!