Las formas de trabajar en las empresas están cambiando constantemente y avanzamos a paso firme hacia la era digital. En este sentido, los dispositivos virtuales están a la orden del día, son una forma económica y relativamente fácil para que los proveedores de software distribuyan sus productos. Así, los clientes los terminan implementando en entornos de nube pública y privada. Si todo estuviera bien hecho no habría problemas. Lo que sucede es que sólo el 8% de los dispositivos virtuales están libres de fallos de seguridad.
En una investigación reciente se ha visto que este tipo de dispositivos frecuentemente tienen vulnerabilidades explotables y reparables. Aún hay más, a veces se ejecutan en sistemas operativos obsoletos o no compatibles, con lo cual, se agrava el problema.
Informe de seguridad del estado de los dispositivos virtuales
El informe ha sido realizado por Orca Security. Esta empresa tiene soluciones que se encargan de detectar los riesgos importantes para la seguridad de la nube. Gracias a sus herramientas, escanea los activos en la nube y muestra vulnerabilidades, malware, configuraciones incorrectas, riesgo de movimiento lateral y contraseñas débiles o filtradas.
Para realizar este estudio, Orca Security analizó 2218 imágenes de dispositivos virtuales de 540 proveedores de software. En ellos se buscaron vulnerabilidades conocidas y otros riesgos con el objetivo de ofrecer una puntuación y clasificación de evaluación objetiva. Así, tras el escaneo final se llegaron a encontrar 401,571 vulnerabilidades. Sin duda, un número importante en el que únicamente el 8% de los dispositivos virtuales no tenía fallos de seguridad.
Los usuarios creen que los dispositivos virtuales están libres de riesgos de seguridad. Sin embargo, eso está muy lejos de la realidad. Nos encontramos en una situación que hay muchas vulnerabilidades a las que debemos añadir los sistemas operativos sin mantenimiento.
Las vulnerabilidades críticas
En el informe sobre el estado de seguridad de los dispositivos virtuales de Orca Security 2020, se deja claro que las empresas deben estar atentas para probar y cerrar cualquier brecha de seguridad. Pero no sólo también que la industria del software aún tiene un largo camino por recorrer para proteger a sus clientes, ya que, a menudo, no corrigen sus fallos de seguridad a tiempo. El estudio identificó 17 vulnerabilidades críticas en los dispositivos virtuales que se consideran que tienen un alto riesgo si no se solucionan de manera adecuada.
También que el 56 % de este tipo de productos recibió una calificación de fallido, mediocre o pobre. Lo cual nos muestra una situación preocupante de los dispositivos virtuales. Entre las vulnerabilidades más conocidas y fácilmente explotables encontramos:
- EternalBlue.
- DejaBlue.
- BlueKeep.
- DirtyCOW.
- Heartbleed.
Un dato preocupante es que sólo el 8% de los dispositivos virtuales estaba libre de vulnerabilidades conocidas.
El software obsoleto aumenta el riesgo
El estudio desveló también que la mayoría de los proveedores no están actualizando ni retirando sus productos al final de su vida útil (EOL o End Of Life).
De aquí sacamos que el 47 % de los dispositivos virtuales no ha recibido una actualización en el último año. Otro dato también alarmante es que el 16 % de este tipo de dispositivos no habían recibido una actualización en los tres últimos años o estaban utilizando sistemas operativos obsoletos. Como es lógico de esperar, los fallos de seguridad se acumulan a medida que los productos envejecen y se acercan al EOL. En este sentido, la calificación de seguridad disminuye a medida que los productos envejecen y no son actualizados.
El informe ayudó a mejorar la situación
Los investigadores de Orca Security enviaron correos electrónicos a cada proveedor de software informándoles de los fallos de seguridad. Así se les daba la oportunidad de mejorar la seguridad de sus productos.
Gracias a esto, algunas empresas se tomaron en serio el problema y se pusieron manos a la obra para solucionar sus vulnerabilidades. Como resultado directo de este estudio de Orca Security, los proveedores informaron que 36,938 de las 401,571 vulnerabilidades se habían eliminado al parchear o interrumpir la venta de esos dispositivos virtuales. Además, como consecuencia de este informe, se retiraron 53 productos de la distribución y otros 287 fueron actualizados.