De acuerdo a un desarrollador independiente de malware, los cibercriminales fueron rápidos al integrar un nuevo exploit, que afecta una vulnerabilidad parchada de Java, en una herramienta usada para lanzar ataques masivos en contra de los usuarios.

El exploit utiliza una vulnerabilidad crítica identificada como CVE-2013-2465, la cual afecta todas las versiones anteriores a la versión Java 7 actualización 25, la cual permite la ejecución remota de código. La vulnerabilidad fue corregida por Oracle al liberar una actualización crítica en junio.

El exploit fue liberado el día lunes por el grupo de seguridad , que originalmente lo adquirió mediante su programa de cacería de errores de programación (bugs) como exploits de día cero (exploit del que no existe parche hasta el momento) de un desarrollador del que no se proporcionó nombre.

Con el permiso de los autores, Packet storm publicó los exploits 60 días después de que fueron recibidos, por lo que otros desarrolladores pueden utilizarlas para realizar pruebas de penetración y evaluar riesgos de seguridad.

Dos días después de haber sido liberado, el exploit CVE-2013-2465 fue integrado a los llamados kits de exploits, los cuales contienen herramientas de ataque que permiten infectar computadoras con malware al explotar vulnerabilidades en software desactualizado cuando algún usuario visita sitios comprometidos.

Un desarrollador independiente de malware, que utiliza el alias de Kafeine, encontró una instalación "viva" del kit de exploits Styx, antes conocida como Kein, que está utilizando el exploit.

Desde la perspectiva del atacante, el exploit para la vulnerabilidad CVE-2013-2465 es mucho mejor  que el exploit CVE-2013-2460 (otra vulnerabilidad corregida en junio) que fue recientemente integrada en un toolkit de ataque diferente, llamado Private Exploit Pack. Según lo publicado por Kafeine en un blog, esto se debe a que CVE-2013-2465 afecta tanto a Java 7 como Java 6, mientras que CVE-2013-2460 solo afecta a los equipos con Java 7.

En abril, Oracle dio por terminado su soporte público para Java 6 y ya no publicará actualizaciones de ésta para todos sus usuarios. Aún así, Java 6 continúa siendo ampliamente utilizado, especialmente en ambientes empresariales.

Un estudio reciente de la firma de seguridad Bit9 muestra que más del 80% de las computadoras empresariales con Java todavía utilizan la versión 6. La versión más ampliamente instalada en esos sistemas fue Java 6 actualización 20. La ultima versión publicada de Java 6 es Java versión 6 actualización 51, pero esta versión solo está disponible para los usuarios que extendieron su contrato de soporte con Oracle.

El hecho es que el exploit para la vulnerabilidad CVE-2013-2465 está disponible al público y está siendo integrada en masa a los kits con herramientas de ataque, lo que sugiere que pronto se verá su esparcimiento.

Los usuarios que no han actualizado a Java 7 actualización 25 deberían hacerlo lo más pronto posible.