Descubrimiento de una vulnerabilidad en uno de los catálogos de código abierto más grandes del mundo

La herramienta de análisis de código fuente y codificación segura de Pradeo ha permitido descubrir una vulnerabilidad en el código de una popular biblioteca de código abierto. Disponible gratuitamente para que la comunidad lo descargue, este módulo de interfaz diseñado para dejar comentarios contenía una falla que permitía la escalada de privilegios.

La vulnerabilidad fue descubierta por Hopinnov, pionero en la digitalización de la logística hospitalaria y usuario de la solución de seguridad de aplicaciones de Pradeo. La startup construyó parte de su aplicación en código abierto, convencida de sus ventajas.

Escalada de privilegios: una línea de código vulnerable es suficiente

La vulnerabilidad crítica fue detectada por la herramienta de análisis de seguridad del código fuente de la aplicación de Pradeo. Su detección permitió a Sébastien Valentini, Presidente y Co-Fundador de Hopinnov, informarlo a los responsables del módulo. Aseguraron su resolución en pocos días, gracias a una línea de código correctora.

Como parte de la solución POC & PICK de Hopinnov, el módulo de comentarios afectado por la falla permite a los usuarios compartir sus comentarios sobre los protocolos operativos: preparación de los quirófanos, equipo utilizado, diseño de la sala, configuración del paciente…

Esta vulnerabilidad abrió la puerta a la escalada de privilegios, una explotación que podría haber sido problemática para los datos del hospital. Un ciberdelincuente podría haber obtenido las credenciales y contraseñas del administrador y simplemente haber iniciado sesión en la interfaz. Esto habría abierto la posibilidad de modificar los protocolos de funcionamiento y recuperar toda la información disponible en la aplicación.

Un enfoque complementario entre auditoría y pentesting

Afortunadamente, antes de comercializar su aplicación, Hopinnov realizó una prueba de penetración mediante la auditoría de su código fuente con la solución de Pradeo, junto con el pentesting. Este enfoque complementario les permitió descubrir esta vulnerabilidad explotable y ahora se usa regularmente para limitar los riesgos.

Después de un nuevo análisis de la aplicación de Hopinnov por parte de la solución de Pradeo tras la corrección de la vulnerabilidad, esta y, por extensión, el módulo de comentarios de código abierto ahora están protegidos.

Con Pradeo, la empresa de Sébastien Valentini se asegura continuamente de que el código de su aplicación no tenga ninguna vulnerabilidad. De hecho, la herramienta que integra análisis específicos de salud y ofrece un mecanismo disruptivo para detectar y remediar vulnerabilidades de acuerdo con prácticas de programación seguras, le ha permitido asegurar su código desde la etapa de diseño.

El personal de los hospitales ahora puede comentar los aspectos logísticos y preparatorios de un quirófano, con total seguridad. La modificación del protocolo está reservada a las personas debidamente autorizadas, así como el acceso a determinada información clave.

«El análisis de seguridad del código de la aplicación realizado por la herramienta de Pradeo nos permitió integrar de manera óptima el riesgo cibernético lo antes posible, un elemento esencial en un sector como el de la salud, que se ve afectado con frecuencia por ciberataques y tiene desafíos críticos. La misión de Hopinnov como editor de software es simplificar el trabajo del personal hospitalario y debemos garantizar la máxima y permanente seguridad de nuestro software». Afirma Sébastien Valentini Presidente y Co-Fundador de Hopinnov.

Acerca de Pradeo: Pradeo brinda soluciones para proteger dispositivos y aplicaciones móviles. La tecnología Pradeo Security es reconocida por Gartner, IDC, Forrester y Frost & Sullivan como una de las más avanzadas de la industria. Proporciona detección precisa de amenazas, evitando la filtración de información de dispositivos móviles y haciendo cumplir las leyes de protección de datos.