seguridad en WordPress y los papeles de Panamá

Muchas veces dejamos de lado un aspecto básico de nuestra web en pos de un diseño bonito y elegante, la seguridad. Podemos llegar a tener una web extraordinariamente vistosa, con unos plugins que nos permitan todo tipo de funcionalidades, unos sliders impresionantes o unos efectos parallax que sean la envidia de nuestra competencia, pero nunca, repito nunca dejemos de lado la seguridad de nuestra web .Wodpress en ese sentido quizás sea el CMS que más se vuelca en ese aspecto y puedo asegurar que bien configurado y siguiendo unas mínimas pautas de seguridad es prácticamente invulnerable. Aún así hoy por hoy nuestra página está expuesta a numerosos y constantes ataques y es vital que ésta siga unos protocolos de seguridad que impidan los accesos no deseados a nuestra instalación. La protección de nuestra base de datos, la instalación de un plugin de seguridad, las actualizaciones del core de Worpress, plugins y themes o contar con back ups de nuestro sitio son las medidas mínimas de seguridad que pueden poner harto difícil el acceso de hackers a nuestros sitio web. Recientemente, como todos sabéis, ha salido a la luz el escándalo de “ los papeles de Panamá ”.
La filtración de millones de documentos que comprometen en materia fiscal a sociedades y personas de todo el mundo, algunas de ellas muy conocidas, ha supuesto un verdadero escándalo a nivel mundial. Dicha filtración, por lo visto, ha sido posible debido a una intrusión no autorizada en el sitio web del despacho de abogados Mossack Fonseca, los supuestos intermediarios entre los afectados y las sociedades “offshore”. Pués bien dicha web es un sitio WordPress y según cuentan los amigo de Wordfence (empresa experta en seguridad Worpress) dicha intrusión se ha producido a través de una versión vulnerable del plugin “slider Revolution” y el posterior acceso al servidor de correo electrónico ubicados ambos en el mismo servidor que WordPress. La semana pasada MF envió un correo electrónico a sus clientes diciendo que había experimentado el acceso no autorizado de sus servidores de correo electrónico, lo que confirma que los servidores fueron comprometidos. Una vez que se accede a un sitio web de WordPress, se puede ver el contenido de wp-config.php que almacena las credenciales de base de datos de WordPress. El atacante habría utilizado esto para acceder a la base de datos. La página de MF ejecuta, además del plugin SR el plugin WP SMTP que le da la capacidad de enviar correo desde su sitio web a través de un servidor de correo. Esta dirección de correo electrónico del servidor plugin almacena información en texto plano en la base de datos de WordPress. La información de acceso almacenada es un inicio de sesión SMTP del servidor de correo para el envío de correo electrónico. una vez que el atacante tuvo acceso a WordPress, el archivo wp-config.php que contiene las credenciales de base de datos y la base de datos de WordPress, puede ver la dirección del servidor de correo, el nombre de usuario y contraseña para iniciar sesión y enviar correos electrónicos y, por supuesto, habría tenido todos los demás privilegios que se otorgan a esa cuenta.
también se usa en la página el plug-in Easy Mail Boletín ALO que proporciona una funcionalidad de gestión de listas. Una de las funciones que proporciona es recibir mensajes devueltos desde un servidor de correo y eliminar automáticamente los correos rebotados de la lista de suscriptores. Para ello, el plugin necesita acceso para leer mensajes de correo electrónico desde el servidor de e-mail. Este plugin también almacena la información de inicio de sesión del servidor de correo electrónico en la base de datos de WordPress en texto sin formato. En este caso, la información de inicio de sesión proporciona la capacidad de recibir correo a través de POP o IMAP del servidor de correo. Una vez que el atacante también tuvo acceso a estos datos, después de obtener acceso a la base de datos de WordPress a través de slider revolution, habría podido inscribirse en el servidor de correo electrónico y sería capaz de leer los mensajes de correo electrónico a través de POP o IMAP.

grafico ataques a wordpress

Para resumir el movimiento de los atacantes

Lo más probable es que el atacante tuviera acceso a la página web de MF WordPress a través de una conocida vulnerabilidad de Revolución Slider. Esta vulnerabilidad es bastante fácil de explotar. Esto le habría dado acceso a la base de datos de WordPress. Luego los otros dos plugins adicionales que almacenan información de acceso a su servidor de correo electrónico en texto sin formato en la base de datos estarían a su merced. El atacante habría leído esta información de la base de datos de WordPress y lo utilizó para obtener acceso al servidor de correo electrónico.

¿Se hace cumplir el principio de privilegio mínimo?

Uno de los conceptos clave en la seguridad de la información es el principio del mínimo privilegio. Por ejemplo: Las cuentas de usuario sólo deben tener el acceso que necesitan para hacer su trabajo.
Es difícil de imaginar en una empresa con clientes de alto potencial que la misma cuenta que utiliza un gestor de relaciones con los clientes también se utiliza para enviar mensajes de correo electrónico de la lista. Esto garantizaría que el administrador ve todas las respuestas en su bandeja de entrada. Si ese fuera el caso, el atacante habría tenido acceso a la cuenta de correo electrónico de un funcionario superior cuando robaron estas credenciales del servidor de correo electrónico.

2016-04-11_16-34-12

Voy a resumir brevemente cómo los atacantes probablemente tuvieron acceso a los documentos de los clientes corporativos como PDF. Según el sitio web del portal de MF en https://portal.mossfon.com/, “el portal de Información del Cliente Mossfon es una cuenta en línea segura que permite acceder a su información corporativa en cualquier lugar y en todas partes, con actualizaciones en tiempo real”. En el portal de MF que proporciona acceso a los clientes se ejecuta una versión de Drupal que cuenta con más de veintitres vulnerabilidades.Esta versión fue responsable de “Drupageddon”, una piratería masiva de sitios Drupal acaecida tiempo atrás. Entrar en este sistema no supondría problema alguno a un analista de seguridad principiante. Una vez que un atacante compromete el sistema de permisos de acceso de cliente, habría derrotado al control de acceso y podría acceder a toda la información corporativa del cliente. Esto es probablemente el sistema utilizado para robar PDFs y otros documentos.

Conclusión

Mossack Fonseca tenía una vulnerabilidad por una versión del plugin Slider Revolution que no habría sido debidamente actualizado, en su sitio de WordPress que probablemente dio a un atacante el acceso inicial a sus sistemas incluyendo su base de datos de WordPress. Actualizar con regularidad tanto el propio software de WordPress, así como sus plugins y themes, tener nuestra web en un servidor de confianza y por supuesto cambiar con regularidad nuestras contraseñas de acceso, al margen de tener un buen plugin de seguridad se antoja fundamental para proteger nuestra web de atacantes.
Evidentemente sobra decir que todo lo anteriormente expuesto debe tomarse a modo de ejemplo y que en ningún caso, quien firma este blog está de acuerdo en las tremendas irregularidades fiscales de las que, presuntamente, son responsables las personas y empresas afectadas.

Deja un comentario