En Visma, nos enorgullece que las personas contribuyan a la comunidad de seguridad cibernética al encontrar y, posteriormente, advertir sobre vulnerabilidades que pueden tener un impacto crítico tanto en la actividad del sector público y privado y afectan al público. Lo importante es encontrar y mitigar las vulnerabilidades antes que los ciberdelincuentes y antes de que puedan explotarlas.
En Visma, contamos con un equipo completo de hackers éticos, pentesters y desarrolladores, dedicado a encontrar estas vulnerabilidades, con un enfoque principal en las propias aplicaciones  e infraestructura de Visma, pero también estamos felices de ayudar a otros ya que vemos esto como una responsabilidad social en la lucha permanente contra el delito cibernético.

1. ¿Qué es una vulnerabilidad?

Una vulnerabilidad es una falla o una debilidad en un sistema de TI, software, dispositivo o hardware que puede servir como un camino  de entrada para un atacante. La vulnerabilidad también se puede ubicar en los procedimientos de seguridad, los controles internos y la implementación misma, y ​​pueden ser explotados a través de varios métodos, técnicas y con la ayuda de diferentes herramientas de hackeo. La suma de estos puntos débiles que pueden servir como punto de entrada se suele denominar como superficie de ataque. Estas vulnerabilidades generalmente pondrán a los usuarios en riesgo de convertirse en la víctima de una violación de datos, o conducir al riesgo de ataques a la cadena de suministro, que tiene como objetivo un proveedor externo a través de una vulnerabilidad encontrada en un componente que utilizan, proporcionada por un tercero. Una vez que se explota una
vulnerabilidad y se obtiene acceso no autorizado, el atacante también puede ejecutar código malicioso, robar datos confidenciales o instalar malware.

2. ¿Cómo mitiga Visma las vulnerabilidades?

En Visma, hacemos muchos esfuerzos diferentes para detectar vulnerabilidades potenciales de manera temprana, por ejemplo con diferentes escaneos automatizados, y contamos con numerosos equipos a cargo de diferentes formas de poner a prueba nuestra capacidad de respuesta y las medidas de seguridad que tenemos implementadas. Capacitamos a todos nuestros equipos de desarrollo para que incluyan a la seguridad como parte del proceso de desarrollo, tenemos un programa de recompensas por errores y divulgación responsable para que Los hackers éticos fuera de Visma también pueden contribuir. Pero también hacemos extensas pruebas de penetración en las que tratamos de hackearnos a nosotros
mismos buscando tantas vulnerabilidades como sea posible para infiltrar nuestros propios activos a través de un alcance definido.
Y luego tenemos nuestro equipo rojo (red team), que lleva a cabo operaciones más grandes donde el alcance es más amplio, simulando ataques, encontrando cualquier forma de entrar a través de una vulnerabilidad y luego ver hasta dónde pueden escalar el ataque. Un equipo rojo suele profundizar más y tiene más libertad cuando se trata del alcance, así como del método y la vía de elección.

3. La historia de Joona y Tomi

Recientemente, dos de nuestros colegas de Visma en el equipo rojo (red team); Joona Hoikkala y Tomi Koski, descubrieron una vulnerabilidad previamente desconocida en la solución de software FreshService que podría haber tenido consecuencias críticas si los ciberdelincuentes las hubieran encontrado primero. FreshService es una solución de gestión de servicios basada en la nube que simplifica la TI de las operaciones en las organizaciones, y es utilizado por miles de grandes empresas en todo el mundo. Los dos encontraron la vulnerabilidad por casualidad después de echar un vistazo más de cerca al software de Visma al cual los empleados tenían acceso a través de sus propias computadoras. Miraron el tráfico de la red y trazaron un mapa de lo que estaba instalado y con qué se estaba comunicando y cómo estábamos protegidos. Básicamente estaban buscando algo fuera de lo común.
Y luego les llamó la atención la aplicación FreshService. La forma en que funciona el software es poniéndose en contacto regularmente con un servicio central a través de Internet para informar detalles sobre el dispositivo que está instalado. Esto le permite, al administrador de TI de una empresa, ver qué dispositivos se están utilizando activamente, qué software está instalado, etc. Pero después de una mirada más cercana descubrieron una discrepancia. Se dieron cuenta de que era posible interceptar la comunicación entre el cliente y el servidor creando una red hostil para interponerse entre ellos. Esto se debe a una mala configuración de cifrado, la cual se utiliza para proteger la transferencia de datos con el usuario final y la autenticación de la identidad del sitio web para garantizar que sea legítimo a
través del cifrado. Como estaba apagado, esto llevó a que la aplicación retornara información no cifrada sobre la máquina. Como el software tenía una función interna de actualización automática que sufría de la misma falla, la explotación de esta vulnerabilidad llevaría a una situación en la que un ciberdelincuente podría apoderarse de la máquina de un empleado para obtener acceso completo a esta. Desde aquí, los ciberdelincuentes pueden adentrarse más en el interior de la empresa, la red y potencialmente otros servicios desprotegidos para continuar el ataque.
Dado que los clientes de FreshService suelen ser grandes empresas, esto podría haber tenido el potencial para ataques dirigidos más grandes, con grandes efectos dominó. Por lo tanto,
responsablemente esperaron 120 días antes de publicar la vulnerabilidad para poder realmente asegurarse de que FreshService, y sus clientes, tuvieran tiempo para actualizar y parchear su software para que fuera seguro antes de que se hiciera público, aunque el tiempo estándar para la espera es de 90 dias.
Tanto para Joona como para Tomi es importante ser parte de la ayuda al fortalecimiento de las pautas éticas por la presentación de informes y estar allí para ayudar.