Azul Systems, empresa ubicada en Sunnyvale, California, especializada en entornos de ejecución Java, ha puesto a disposición de las organizaciones una herramienta gratuita para evaluar riesgos de vulnerabilidades en sus Java Virtual Machines (JVM). Con este escáner, la compañía busca ayudar a equipos DevOps y SecOps que no cuentan con una visibilidad completa sobre sus entornos Java, detectando incluso aquellas instancias integradas o no gestionadas que las herramientas habituales suelen pasar por alto.
La dinámica de la evaluación es sencilla: tras analizar la red en busca de versiones y localizaciones de JVM, la herramienta genera un informe con un plan de remediación priorizado, cruzando datos con catálogos oficiales como el de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), así como con la Base Nacional de Datos de Vulnerabilidades del gobierno estadounidense.
Si bien esta iniciativa se presenta como un servicio gratuito, no deja de ser una estrategia para atraer posibles clientes a suscripciones de apoyo para Azul Core, la versión propia y comercial de JVM que vende la firma. Esta versión se caracteriza por ofrecer exclusivamente actualizaciones críticas de seguridad, a diferencia de otras distribuciones como AWS Corretto o Eclipse Temurin que incluyen correcciones de bugs y nuevas funcionalidades. 
Según Eric Costlow, director senior de gestión de producto en Azul, esta diferencia reduce significativamente el riesgo de que una actualización provoque fallos en aplicaciones Java, un miedo común que frena la actualización periódica de muchos sistemas. Costlow señala: «Una razón por la que muchos no actualizan sus JVM es el temor a causar problemas. Azul Core solo incluye parches de seguridad, minimizando la probabilidad de romper aplicaciones al actualizar».
La principal justificación para esta campaña se enfoca en la creciente amenaza que representan las herramientas de inteligencia artificial, las cuales, según la compañía, han reducido drásticamente el tiempo que transcurre entre la publicación de una vulnerabilidad y su explotación. Esta aceleración hace que las JVM desactualizadas sean aún más vulnerables que hace año y medio.
Costlow explica que con la IA es posible crear crawlers inteligentes capaces de identificar versiones antiguas de Java mediante firmas específicas, y que la generación automática de exploits ha facilitado que ataques previamente limitados a escenarios concretos se generalicen con mayor facilidad.
Para respaldar estos argumentos, Azul cita estudios recientes como el de la Universidad de Illinois Urbana-Champaign de 2024, que demostró que GPT-4, con la estructura adecuada, puede explotar de manera autónoma el 87% de CVEs críticos conocidos, con un coste aproximado de 8,80 dólares por exploit exitoso. Más aún, otro estudio mostró que grupos de agentes de IA pueden encontrar vulnerabilidades zero-day con una tasa de éxito superior al 50%, y que sistemas IA como ARTEMIS compiten y superan a pentesters humanos, encontrando vulnerabilidades a un costo sustancialmente menor.
Sin embargo, la campaña de Azul también apoya su discurso principal en el modelo de inteligencia artificial Mythos, desarrollado por Anthropic, que supuestamente puede descubrir y explotar vulnerabilidades sin intervención humana, incluso aquellas que han resistido décadas de revisiones humanas. No obstante, este modelo no se encuentra disponible públicamente y su acceso está restringido a un pequeño grupo de organizaciones seleccionadas, por lo que Azul no ha podido probar directamente Mythos contra sus JVM, reconociendo que esta afirmación se basa en la información proporcionada por Anthropic.
El escáner que comercializa Azul funciona durante varios días sin afectar el rendimiento de la red, identificando versiones de JVM en toda la infraestructura, incluidos app servers, contenedores serverless y bases de datos. El reporte generado incluye un panel de seguridad con niveles de riesgo categorizados, análisis cruzado con bases de datos KEV y CVE, identificación de entornos Java obsoletos (como versiones 5, 6 y 7, que aún son más comunes de lo que se piensa) y un informe de brechas en la aplicación de parches.
Además, la solución contempla el cumplimiento de normativas de seguridad y privacidad, como PCI-DSS, SOX, HIPAA, DORA, NERC CIP y FedRAMP, que exigen visibilidad y seguimiento en el historial de actualizaciones de software.
Costlow destaca que muchos responsables de sistemas que deberían aplicar estos parches, particularmente en espacios regulados como PCI DSS, no lo hacen, acumulando así un volumen importante de riesgo. «Si no se ha parcheado en ocho años, el riesgo es enorme, lo que denomino un tsunami de CDE», comenta.
Por su parte, Dana Crane, directora de marketing de producto de Platform Core en Azul, señala que pese a lo amplio que pueda parecer el ecosistema Java de una empresa, normalmente un reducido número de versiones representa la mayor parte del riesgo, facilitando una mitigación más práctica y dirigida.
La evaluación está disponible sin coste a través de Azul y algunos socios seleccionados, en la web oficial de la compañía.
