¿Qué tiene que ver WordPress y #PanamaPapers?

La fuga de información del bufete de abogados Mossack Fonseca (MF) es la mayor en la historia con un total de más de 4,8 millones de emails, 3 millones de base de datos, 2 millones 100 mil pdfs, 1 millón 100 mil imágenes y 320 mil documentos de texto.

datos-panamapapers

En los últimos años hemos podido percibir en los medios de comunicación el crecimiento, la cantidad y repeticiones de grandes fugas de información de empresas, bufetes de abogados, particulares, cuerpos de seguridad e inteligencia, etc. Tantos que incluso empresas en España prestan servicios especiales para estas situaciones.

Si recordamos en 2015 las filtraciones de Hacking Team llegaban como una de las mayores fugas de datos realizadas. Aparte de su naturaleza sobre espionaje, la cantidad de datos nos llamó mucho la atención: 400 GB de datos. Sin embargo en esta hablamos de casi 7 veces más de información, 2.6 TeraBytes.

Justo hace 10 días el pasado 1 de abril se mandó desde MF a todos sus clientes un correo electrónico explicando lo que ellos pensaban de lo sucedido. Esto es un fragmento pero el resto pueden leerlo en pastebin. Como pueden ver abajo aparecen las cabeceras del correo electrónico.

mossfon-email

¿El servidor de correo electrónico estaba en el mismo servidor web?

Desde el pasado 4 de abril ha implementado un cortafuegos llamado Incapsula producto de la empresa Imperva. Aunque a través de la aplicación web Netcraft podemos recuperar las IPs que se encuentran detrás del cortafuegos y saber si estaban en la misma red.

mossfon-netcraft

421934220_65569

La estructura web de MF es bastante sencilla y comprende varias plataformas con 2 gestores de contenidos muy conocidos. WordPress y Drupal:

mossfon-webs

Las medidas escasean aparte del cortafuego implementado después del ataque. Sobre los WordPress instalados (mossfon.com, mossfonmedia.com) no tienen sistemas contra el brute force de los logins y los plugins sobre mossfon.com podemos verlos en pastebin donde ya existe bastante información sobre este caso, incluso código de php con la configuración del sistema de pago online “Orion”.

Tras el análisis de la situación de la estructura web que disponen podemos concluir que existe una gran posibilidad de ser la puerta donde han conseguido acceder para obtener toda la información presentada en #PanamaPapers. Esto no descarta también otras 3 posibilidades:

  1. Empleados o ex empleados descontentos es unos de los grandes motivos de la fuga de información pero ya desde los primeros días la empresa hizo un comunicado descartando esta posibilidad.
  2. Víctimas de alguna o varias campañas de phishing. Los atacantes de una forma masiva mandan emails suplantando al identidad de una empresa o página web con la finalidad de robar las credenciales o obtener información.
  3. Servidor vulnerable. La información que hemos encontrado es que es posible que el servidor fuera un Windows Server desactualizado. Puede ser un vector de ataque perfecto para los atacantes. Si consiguen tener acceso quizás pudieran obtener toda la información o pivotar a otros servidores.

Sin saber cómo entraron 100%, está claro que la empresa ya ha contrató a una experto que trabajará para auditar y fortificar los sistemas. Cada día implementan nuevas medidas de seguridad aunque aún insuficientes en lo que los CMS respecta.

Los WordPress pecan de:

  • Directorios por defecto.
  • WP-LOGIN sin sistema de fuerza bruta.
  • Enumeración de plugins, usuarios y themes.
  • etc.

banner-auditoria-fortificacion

 

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *