De acuerdo a investigadores de Security Explorations y de Kaspersky Lab, fallas en la última versión de la edición de IBM del Kit de Desarrollo de Software (SDK, por sus siglas en inglés) para la tecnología Java, dejan a muchos servidores desprotegidos ante ataques dirigidos.

El investigador de Security Explorations, Adam Gowdiak, alertó a IBM de las fallas en su software mediante un mensaje que publicó.

"Security Explorations descubrió siete problemas de seguridad adicionales en la última versión del SDK. La mayoría de las fallas se deben a un uso o implementación inseguros de la Interfaz de Programación de Aplicaciones (API, por sus siglas en inglés) Java Reflection", escribió Gowdiak.

La investigadora de seguridad de Kaspersky Lab, Marta Janus, dijo que los errores son especialmente malos ya que los hackers pueden usarlos para llevar a cabo ataques dirigidos a servidores de clientes de IBM.

"Utilizando estas vulnerabilidades, los criminales pueden traspasar las medidas de seguridad de la Máquina Virtual Java de IBM, y así obtener control del sistema atacado", comentó.

"Es importante subrayar que estas vulnerabilidades afectan al SDK desarrollado por IBM para sistemas operativos que los llamados "Power Systems" de IBM (Linux, AIX, IBM i) soportan. Estas vulnerabilidades pueden usarse en ataques dirigidos contra sistemas que ejecuten la Máquina Virtual Java J9 de IBM".

Security Explorations también descubrió que un número de errores previamente descubiertos continúan presentes en el software, a pesar de fueron reportados hace casi un año.

Gowdiak agregó lo siguiente: "Descubrimos que la compañía no ha corregido correctamente cuatro problemas reportados (en septiembre de 2012) a IBM. Mediante simples modificaciones a los códigos de los exploits, las fallas podrían usarse para comprometer totalmente un entorno Java de IBM. El problema con las correcciones de IBM es que pretenden detectar únicamente un vector de ataque específico y omiten muchos otros escenarios. Una notificación sobre la vulnerabilidad fue enviada a IBM, con información detallada sobre las debilidades identificadas. Junto con eso, se envió a la compañia código fuente y binarios para pruebas de concepto que ilustran todos los problemas de seguridad y las correcciones erroneas".

Con criminales que desarrollan continuamente nuevas y más ingeniosas formas de engañar a la gente para que caigan en las trampas, los ataques dirigidos son un problema creciente que muchos negocios enfrentan. Recientemente, un estudio conjunto del grupo comercial ISACA y la firma de seguridad Trend Micro encontró que uno de cada cinco negocios ya ha sido victima de un ataque dirigido.