Los usuarios de PC de consumo probablemente no notarán mucha diferencia cuando el otrora omnipresente Adobe Flash Player finalmente entre al final de su vida útil el 31 de diciembre de 2020, pero muchas organizaciones, tanto grandes como pequeñas, todavía tienen dependencias de Flash de las que es posible que no sean del todo conscientes. , y el momento de controlar la situación es ahora, dice el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
En un nuevo aviso que insta a las organizaciones a arreglar sus dependencias de Flash, el NCSC dijo que para muchos, dejar de usar Flash puede ser más fácil de decir que de hacer. Debido a que solía ser la única forma práctica de alojar contenido multimedia o dinámico, muchas aplicaciones, incluidos muchos sitios de aprendizaje electrónico, administración de documentos e intranet de empresas, todavía dependen de él.
Entre otros, los investigadores de NCSC encontraron Flash Player en uso en versiones de VMware vCenter y vSAN (antes de la primavera de 2018) para algunas funciones de administración y varias herramientas como SAS, Citrix y otras. También se necesitaba Flash Player para ejecutar el Shell de Interfaz de firmware extensible (EFI) que se usa para cargar actualizaciones de firmware en las placas base de Intel Server más antiguas.
«Nuestra investigación sugiere que la mayoría de las empresas tendrán algunas dependencias de Flash», dijeron los investigadores de NCSC. “Sin embargo, en la mayoría de los casos, los proveedores de los productos en cuestión han trabajado arduamente para proporcionar actualizaciones para sus productos. Entonces, depende de nosotros aplicar esas actualizaciones.
“Las garantías y los acuerdos de servicio sobre los servicios y el hardware empresariales suelen fijarse en tres o cinco años, lo que sugiere que es inusual reemplazar o actualizar los equipos, las aplicaciones y los servicios empresariales más de dos veces por década.
«Por lo tanto, a menos que se haga un esfuerzo consciente para encontrar una alternativa, muchas empresas aún necesitarán usar Adobe Flash Player para acceder a los servicios empresariales y realizar funciones administrativas comunes, mucho después de que el producto haya llegado al final de su vida útil».
Flash ha sido una fuente creciente de problemas de seguridad cibernética desde hace algún tiempo, con más de 1,000 vulnerabilidades reconocidas, incluidas algunas descubiertas tan recientemente como en junio de este año. En ocasiones, el proceso de instalación y actualización de Flash en sí ha sido el objetivo de agentes malintencionados, y se utilizan actualizaciones de Flash falsas para distribuir troyanos maliciosos.
A partir del 1 de enero de 2021, es probable que las nuevas vulnerabilidades permanezcan sin parchear por tiempo indefinido, lo que hace que el uso continuado de Flash sea muy riesgoso.
Además, cualquiera que quiera seguir usándolo tendrá que usar una versión antigua y sin parches de su navegador, y es probable que deba deshabilitar su mecanismo de actualización, lo cual es muy desaconsejable.
«Lo alentamos a trabajar junto con sus proveedores para eliminar las dependencias de Flash», dijo el NCSC. “Cualquier proveedor que no quiera, o no pueda, hacer esto debe ser considerado riesgoso. Háganos saber si tiene problemas «.
Ed Williams, director de EMEA de la unidad de investigación de amenazas SpiderLabs de Trustwave, dijo que el software al final de su vida útil era un problema permanente para la mayoría de las empresas y, con frecuencia, se descubrió que era la causa subyacente de un compromiso.
“El riesgo que representa ejecutar software al final de su vida útil es significativo y las organizaciones no siempre aprecian debido a la escala del problema”, dijo.
“También es un problema que rara vez se resuelve en un momento dado y se considera más como un proyecto de mitigación de riesgos en curso. La mayoría del software requiere periódicamente parches y mantenimiento y, dada la magnitud del problema, a menudo vemos brechas explotables incluso dentro del régimen de parches más sólido «.
Williams agregó: “Ser capaz de identificar el software al final de su vida útil y luego mitigar adecuadamente el riesgo no es una tarea fácil y requiere una inversión significativa y madurez cibernética. Recomendaría una política de parches continua, junto con una gestión regular de amenazas y vulnerabilidades para identificar brechas y puntos ciegos «.