Papeles de Panamá: emails hackeados vía WordPress, docs vía Drupal

por | Abr 9, 2016 | Varios

Ayer hablábamos de la mayor filtración de datos de la historia, hoy sabemos cómo hicieron para hackear casi 5 millones de mails y mucho más…

Hoy tenemos más información sobre cómo los hackers consiguieron acceder al servidor de correo, por lo tanto, a todos los mails, a través de WordPress y Revolution Slider. También sabemos cómo podrían haber accedido a todos los documentos a través de Drupal.

Cómo hackearon el mail

De acuerdo con Süddeutsche Zeitung, la publicación alemana que originalmente recibió la filtración de los Papeles de Panamá, éste es el resumen de los datos hackeados:

Información hackeada en los Papeles de Panama via Eva Maria Montero

Fuente: Süddeutsche Zeitung

 

Como se puede ver, los emails fueron la fuente de datos más filtrada de todas. De hecho, Mossack Fonseca (MF) ya era consciente de que sus servidores habían sido comprometidos ya que avisaron a sus clientes por email la semana pasada.

Y en mi anterior post se veía cómo de fácil era hackear la web de MF a través de la vulnerabilidad de su plugin Revolution Slider, que estaba sin actualizar. Una vez los atacantes tienen acceso al WordPress, pueden ver el contenido del fichero wp-config.php, archivo crucial ya que contiene las credenciales de la base de datos en texto en claro (es decir, sin cifrar). Entonces ya tenemos acceso a la web y a la base de datos por entero.

Además, como los analistas de Wordfence.com pudieron comprobar, la web atacada, www.mossfon.com, también utilizaba dos plugins que tuvieron que ver en que el alcance fuera más masivo:

WP SMTP, que permite enviar emails desde el servidor y que almacena la información de acceso, otra vez en texto en claro, al servidor de correo, como se ve en la captura siguiente:

Fuente: Wordfence

Fuente: Wordfence

 

MF también utilizaba el plugin ALO EasyMail Newsletter plugin, que gestiona listas de mailing y la capacidad de eliminar emails rebotados, pero lo importante es que a través de este plugin se tiene acceso al envío y lectura de emails vía POP o IMAP.

 

Cómo accedieron probablemente a PDF corporativos

Según el propio portal Mossfon publica en su web, «El portal de información de cliente Mossfon es una cuenta online segura que garantiza acceso a su información corporativa desde cualquier parte, con actualizaciones en tiempo real de sus peticiones»

portal mossfon

Fuente: Wordfence

El portal cliente MF que provee acceso a los clientes a los datos (y continúa haciéndolo) es una versión de Drupal que tiene más de 23 vulnerabilidades. Esta versión ha sido responsable de ataques masivos a webs Drupal con anterioridad, el famoso Drupageddon. Y el portal mossfon.com sigue utilizando esta peligrosa versión, como se puede ver si se accede al archivo de cambios o changelog

mf changelog

Fuente: Wordfence

 

Una vez que el atacante ha comprometido el sistema de permisos de acceso del cliente, soportado por Drupal, habría vencido cualquier control de acceso a la información corporativa, según el análisis implementado por Wordfence.

Conclusión

Ayer hablé de cómo la vulnerabilidad del plugin Revolution Slider dio acceso a todo un WordPress y sus bases de datos, y hoy, gracias al profundo análisis de los chicos de Wordfence, hemos visto cómo también han podido acceder al servidor de correo y a los PDF. Y la conclusión es

TÉN TU WEB ACTUALIZADA

Para lo poco que cuesta (unos clics), todo lo que te ahorras, y sino que se lo digan a la propia MF o a todos esos famosos y millonarios implicados en este escándalo, no serás tú uno de ellos no? 🙂

 

No votes yet.
Please wait...

Translate »