Han pasado más de 18 meses desde que la vulnerabilidad log4j conmocionó a la comunidad de ciberseguridad, pero informes recientes indican que un asombroso 40% de las descargas de log4j aún son vulnerables a la explotación y el 72% de las organizaciones aún son vulnerables a log4j, al 1 de octubre de 2022. Solo en mayo de 2023, nuestra plataforma de nube distribuida F5 ayudó a proteger a los clientes de más de 1 millón de intentos de ataques log4j, que se mitigaron con éxito gracias a las capacidades de protección de API y aplicaciones web.
Este es simplemente un ejemplo de una CVE que resalta los desafíos que persisten a medida que las organizaciones luchan por mantenerse al día con la gestión de la remediación de CVE, y es un problema que solo seguirá creciendo. La cantidad de CVE publicados se está acelerando y F5 Labs espera que el ritmo al que se publicarán nuevos CVE en una semana típica aumente a 500 por semana en 2025. Han pasado casi 2 años desde que se expuso la vulnerabilidad log4j y las organizaciones todavía están tratando de ponerse al día mientras el problema más amplio continúa evolucionando. A pesar de la disponibilidad de parches y actualizaciones, numerosos factores contribuyen a vulnerabilidades persistentes como log4j.
La gran cantidad y frecuencia de nuevas vulnerabilidades hace que las organizaciones tengan dificultades para mantenerse al día (y posiblemente sin estar al tanto) a medida que surgen, ya sea por falta de información o de recursos limitados para mantenerse al día con los nuevos avisos. Una vez que se identifica una vulnerabilidad, aplicar parches a los sistemas vulnerables puede ser complejo, especialmente en organizaciones grandes con sistemas interconectados, lo que requiere un esfuerzo y una coordinación significativos, lo que da lugar a largos ciclos de aplicación de parches. Esto se vuelve más complejo por la mezcla de infraestructura, sistemas y aplicações heredadas y modernas que existe en la mayoría de las organizaciones, lo que puede crear problemas de compatibilidad, costos elevados o compromisos de tiempo inconvenientes al intentar implementar actualizaciones críticas. Además, la aplicación de parches y actualizaciones complicadas son dependencias indirectas que pueden existir dentro de las cadenas de suministro de software o los componentes de infraestructura que pueden ser un punto ciego, incluso si una organización no utiliza directamente el sistema vulnerable. Al igual que el propio código del software, los errores humanos y la supervisión también pueden obstaculizar los esfuerzos de mitigación, ya que los desarrolladores o administradores pueden pasar por alto la necesidad de aplicar parches o configurar mal los sistemas. Por último, las organizaciones con infraestructuras de TI complejas o culturas reacias al riesgo pueden experimentar demoras en la adopción de parches debido a pruebas exhaustivas, preocupaciones sobre interrupciones o prioridades comerciales en competencia. Para agravar aún más esta complejidad, la mayoría de las organizaciones carecen de personal suficiente, especialmente en el ámbito de la seguridad. Entonces, ¿cómo se supone que podrán mantenerse al día mientras trabajan febrilmente para parchar y actualizar sistemas y aplicações?
Se aplican parches, pero a menudo (como en este caso con log4j) no se hacen con la suficiente rapidez y se identifican nuevos CVE rápidamente, por lo que es esencial que las organizaciones tengan una capa integral de seguridad frente a sus aplicações , sin importar cuán parcheadas y actualizadas estén. Proteger tanto las aplicaciones internas como las que miran a la web con una solución como Distributed Cloud Web App and API Protection (WAAP) de F5 es crucial para llenar el vacío de vulnerabilidad mientras las organizaciones trabajan en sus retrasos de parches y actualizaciones.
Algunos recursos y enlaces relacionados: