13 september 2013 09:55

Besmettingsgevaar Java groeit in verontrustend tempo

Het wordt steeds moeilijker om Oracle's Java veilig te gebruiken, concluderen securitybedrijven, en het komende jaar wordt het gevaar alleen maar groter.

Java staat al langer bekend als een zwart schaap in de softwarewereld, vanwege het grote aantal openstaande lekken dat cybercriminelen kunnen gebruiken om in te breken op pc’s.

Uit een op dinsdag gepubliceerd onderzoek van Kaspersky Lab blijkt nog maar eens hoe groot het probleem is.

In het afgelopen jaar zijn volgens de Russische beveiliger 161 kwetsbaarheden ontdekt in de Java Environment Runtime (JRE). En aanvallers maken gretig van de gelegenheid gebruik: in zes maanden tijd telde het Russische beveiligingsbedrijf meer dan 2 miljoen aanvallen via Java-exploits.

[related_article id=”161920″]

Eigenaar Oracle heeft aangegeven dat het zijn leven wil beteren en maakte een paar maanden geleden bekend dat het patches op dezelfde wijze gaat distribueren als Microsoft al langer gewend is voor zijn producten.

Maar voor het zijn zaakjes op orde kan krijgen, lijkt de veiligheidssituatie voor Java-gebruikers dramatisch te verslechteren, zo zegt Trend Micro-analist Christopher Budd woensdag in een blogpost.

Java 6 lievelingsdoelwit
Volgens Budd ziet zijn werkgever de afgelopen tijd een sterk groeiend aantal aanvallen op Java 6, een oudere versie van het softwareframework. Trend Micro zegt dat nog altijd meer dan de helft van alle Java-gebruikers deze versie op zijn machine heeft staan. Als je er rekening mee houdt dat nog altijd zo’n drie miljard toestellen gebruikmaken van JRE, heb je te maken met een enorm aantal mogelijke slachtoffers.

Cybercriminelen hebben een vrijgegeven patch voor Java 7 uit elkaar gehaald (reverse engineering) en gebruiken de verzamelde informatie om exploits te bouwen voor Java 6.

Het probleem is dat Oracle in april van dit jaar de ondersteuning van Java 6 heeft gestaakt, waardoor veel gebruikers een actief gebruikt open lek op hun systeem hebben staan dat nooit zal worden gerepareerd.

“Zelfs met de pensionering van voorgaande versies van Microsoft Windows hebben we nog nooit ondersteuning zien wegvallen terwijl meer dan 50 procent van de gebruikers nog steeds de niet-ondersteunde versie gebruiken”, zegt Budd.

Gereedschapskisten
Het verhoogde risico voor Java-gebruikers heeft volgens Kaspersky Lab deels te maken met het feit dat de exploits, die gaten in software misbruiken voor een aanval, steeds vaker worden gebruikt in zogenoemde exploit packs.

Dit soort gebundelde ‘gereedschapkisten’, zoals Blackhole, Nuclear Pack en Sakura, bevatten exploits voor meerdere populaire softwarepakketten als Reader en Flash van Adobe en hoofddoelwit Oracle Java.

“In het geval van Java is de softwarefabrikant (Oracle) erg alert in zijn reactie op pas ontdekte kwetsbaarheden en geeft de geschikte patches snel vrij”, zegt hoofd onderzoek naar kwetsbaarheden Vyacheslav Zakorzhevsky van Kaspersky Lab.

“Eindgebruikers haasten zich echter niet zo met het installeren van updates en cybercriminelen grijpen het initiatief door nieuwe malware te maken die bekende kwetsbaarheden aanvalt”, aldus Zakorzhevsky.

De laatste versie van Java installeren lijkt dus bittere noodzaak, maar volgens Trend Micro ben je ook dan niet gegarandeerd veilig.

Java-aanvallen complexer
Het securitybedrijf treft steeds vaker exploits aan die Java op een dieper beveiligingsniveau aanvallen, de zogenoemde Java Native Layer Runtime.

Dit type exploit, dat het eind augustus beschreef in een aparte blogpost, is een stuk moeilijker te bouwen dan ‘reguliere’ Java-exploits, maar het securitybedrijf ziet het aantal in 2013 desondanks gestaag groeien.

Angst voor de ‘perfecte storm’
Budd dringt er op aan om steeds de laatste versie van Java 7 in huis te hebben en afdoende bescherming te installeren. “En ten derde moet Java (net als alle met het internet verbonden software) alleen worden gebruikt als je het echt nodig hebt: is dat niet zo, schakel het dan uit.”

Hij weet tegelijk ook dat sommige embedded toestellen en bedrijfsapplicaties draaien zijn gebouwd op oudere Java-versies, waardoor opwaarderen naar de laatste versie vrijwel onmogelijk is.

De analist van Trend Micro kijkt ook vooruit naar mei 2014, de eerste maand waarin Microsoft geen nieuwe veiligheidspatches meer zal leveren voor het gepensioneerde Windows XP.

“Er is natuurlijk grote bezorgdheid dat Java 6 en Windows XP samen een ‘perfecte storm’ van permanent kwetsbare systemen kunnen helpen creëren”, aldus Budd.