Ayer hablábamos de la mayor filtración de datos de la historia, hoy sabemos cómo hicieron para hackear casi 5 millones de mails y mucho más…
Hoy tenemos más información sobre cómo los hackers consiguieron acceder al servidor de correo, por lo tanto, a todos los mails, a través de WordPress y Revolution Slider. También sabemos cómo podrían haber accedido a todos los documentos a través de Drupal.
Cómo hackearon el mail
De acuerdo con Süddeutsche Zeitung, la publicación alemana que originalmente recibió la filtración de los Papeles de Panamá, éste es el resumen de los datos hackeados:

Fuente: Süddeutsche Zeitung
Como se puede ver, los emails fueron la fuente de datos más filtrada de todas. De hecho, Mossack Fonseca (MF) ya era consciente de que sus servidores habían sido comprometidos ya que avisaron a sus clientes por email la semana pasada.
Y en mi anterior post se veía cómo de fácil era hackear la web de MF a través de la vulnerabilidad de su plugin Revolution Slider, que estaba sin actualizar. Una vez los atacantes tienen acceso al WordPress, pueden ver el contenido del fichero wp-config.php, archivo crucial ya que contiene las credenciales de la base de datos en texto en claro (es decir, sin cifrar). Entonces ya tenemos acceso a la web y a la base de datos por entero.
Además, como los analistas de Wordfence.com pudieron comprobar, la web atacada, www.mossfon.com, también utilizaba dos plugins que tuvieron que ver en que el alcance fuera más masivo:
WP SMTP, que permite enviar emails desde el servidor y que almacena la información de acceso, otra vez en texto en claro, al servidor de correo, como se ve en la captura siguiente:

Fuente: Wordfence
MF también utilizaba el plugin ALO EasyMail Newsletter plugin, que gestiona listas de mailing y la capacidad de eliminar emails rebotados, pero lo importante es que a través de este plugin se tiene acceso al envío y lectura de emails vía POP o IMAP.
Cómo accedieron probablemente a PDF corporativos
Según el propio portal Mossfon publica en su web, «El portal de información de cliente Mossfon es una cuenta online segura que garantiza acceso a su información corporativa desde cualquier parte, con actualizaciones en tiempo real de sus peticiones»

Fuente: Wordfence
El portal cliente MF que provee acceso a los clientes a los datos (y continúa haciéndolo) es una versión de Drupal que tiene más de 23 vulnerabilidades. Esta versión ha sido responsable de ataques masivos a webs Drupal con anterioridad, el famoso Drupageddon. Y el portal mossfon.com sigue utilizando esta peligrosa versión, como se puede ver si se accede al archivo de cambios o changelog

Fuente: Wordfence
Una vez que el atacante ha comprometido el sistema de permisos de acceso del cliente, soportado por Drupal, habría vencido cualquier control de acceso a la información corporativa, según el análisis implementado por Wordfence.
Conclusión
Ayer hablé de cómo la vulnerabilidad del plugin Revolution Slider dio acceso a todo un WordPress y sus bases de datos, y hoy, gracias al profundo análisis de los chicos de Wordfence, hemos visto cómo también han podido acceder al servidor de correo y a los PDF. Y la conclusión es
Para lo poco que cuesta (unos clics), todo lo que te ahorras, y sino que se lo digan a la propia MF o a todos esos famosos y millonarios implicados en este escándalo, no serás tú uno de ellos no? 🙂