Mossack Fonseca y la seguridad de WordPress

Por | 2017-01-10T13:10:37+00:00 13/04/2016|WordPress|6 Comentarios

 

 

En este blog normalmente no ponemos nada sobre actualidad, pero en este caso nos ha llamado mucho la atención una cosa que ha ocurrido recientemente y que tiene relación directa con una de nuestras especialidades: la seguridad de WordPress.

Como hemos dicho más de cien veces en este blog, WordPress es un CMS seguro, el problema es que actualmente es uno de los más usados del planeta (por no decir el más usado) y evidentemente los problemas (bugs) de seguridad aparecen mucho más rápido que en otros CMS, algo que realmente puede verse como algo bueno, pero también como algo malo como hacen muchos.

mossack fonseca wordpress

En Raiola Networks tenemos la teoría, de que, si tú llevas el mantenimiento exhaustivo de tu instalación de WordPress, nunca te van a infectar, pero claro, eso implica estar atento a muchas cosas y si no eres usuario avanzado de WordPress, vas a tener que contratar a alguien que esté atento a este tipo de problemas que suelen surgir y que no se pueden evitar.

Hoy vamos a hablar de una cosa que ha pasado hace poco (en la fecha de escribir este artículo) y del que no se para de hablar en los telediarios, pero nosotros vamos a abordarlo desde otro lado.
Vamos a hablar de “Los papeles de Panamá”, una trama que se destapó hace nada, y que mostró al mundo una realidad, podemos ver cómo mientras unos pagamos impuestos, otros ocultan sus ingresos para no pagar impuestos.

¿Vamos a hablar de política e impuestos? Pues no, aquí vamos a hablar y a comentar una de las razones por las que se destapó todo esto, ya que supuestamente el problema estuvo en una instalación de WordPress.

 

Mossack Fonseca es un bufete de abogados con sede en Panamá que se dedica a operaciones financieras, hasta aquí todo bien, pero el problema fue que el 3 de Abril de 2016 una supuesta incursión en sus sistemas hizo que se filtraran a Internet 2,6 Terabytes de datos que contenían 11,5 millones de documentos donde aparecían listados de miles de clientes suyos que llevan años escondiendo fortunas en paraísos fiscales.
Entre esos clientes hay personalidades Españolas y de todo el mundo conocidas, y la noticia ha causado bastante revuelo en el mundo.

Pero aquí no vamos a hablar de eso, vamos a hablar de la razón por la que se han llegado a filtrar todos esos datos, y es que parece que ha sido un acceso a través de una instalación de WordPress.

Volvemos a la pregunta inicial, ¿es WordPress un CMS tan inseguro? Pues no, lo que pasa es que en Mossack Fonseca, son todos muy ricos, pero son un poco descuidados, y casualmente se olvidaron de actualizar el Revolution Slider de su instalación desde hace más o menos 2012 o 2013:

mossack fonseca

Esto principalmente es porque los administradores del WordPress del sitio web de Mossack Fonseca no se llegaron a leer nuestro artículo sobre el malware CryptPHP para WordPress que en noviembre de 2015 dio bastante que hablar y afecto a millones de instalaciones precisamente por culpa del plugin Revolution Slider.

Y es que ahora mismo (en el momento de escribir este artículo), Revolution Slider se encuentra en la versión 5.X.X, tenerlo sin actualizar desde la versión 2.1.7, sabiendo que desde la versión 3.X.X son todas vulnerables y alguna versión de la rama 4.X también es vulnerable, es un tema bastante grave y por el cual debería haber bastantes despidos entre los que llevaban el tema.

Como recurso adicional, en el siguiente video grabado por la gente de Wordfence puedes ver una DEMO de cómo se puede utilizar la vulnerabilidad de Revolution Slider en la versión 2.X.X para WordPress:

¿Fácil, no? Puedes pensar que no, pero para un desarrollador WordPress que conozca el entorno, es más fácil que cambiar una rueda a un coche.

 

El proceso de obtener los papeles de Panamá

El proceso de “hackeo” para acceder a los famosos papeles de Panamá fue muy simple, mucho más simple de lo que cualquier usuario de WordPress puede imaginarse.
También hay que decir, que todo el proceso fue descrito por la gente de Wordfence, que como siempre, desde Raiola Networks recomendamos su plugin Wordfence Security:

El proceso para obtener la información fue sencillo, pero dado el formato de los datos obtenidos, se hizo en “varios pasos”.

Tenemos que destacar que la información obtenida se segmenta en varios formatos diferentes, tal y como se muestra en el siguiente gráfico:

wordpress hacked mossack fonseca

De los 11,5 millones de documentos sacados, la mayoría son correos (emails) dado que los hackers una vez que entraron a la instalación de WordPress, usaron la información del wp-config.php para acceder a los datos de conexión a la base de datos.
Posteriormente, con un script accedieron a los datos de la base de datos desde el propio servidor y se encontraron con el plugin WP SMTP Plugin, un plugin que permite que WordPress envíe correos a través de un servidor SMTP especificado, pero que guarda los datos de conexión con el servidor de correo sin encriptar, por lo que pudieron ver perfectamente los datos para conectarse al servidor de correo electrónico por SMTP.

Pero aquí no acaba todo, aún hay más, otro problema fue que, en la instalación de WordPress también estaba instalado el plugin ALO EasyMail Newsletter Plugin, este plugin de newsletter guarda en la base de datos, también sin encriptar, los datos de conexión al servidor POP o IMAP a donde se devuelven los correos rebotados, y aquí es donde apareció el problema otra vez, ya que los atacantes ya tenían todos los datos de conexión al servidor de correo.

wordpress hacked mossack fonseca

Principalmente, esta es la razón por la que los hackers consiguieron tantos correos, pero esto no es todo, esto sigue, porque para completar la “fiesta”, también tenían el Drupal que controlaba la intranet sin actualizar.
La intranet de Mossack Fonseca estaba montada con Drupal 7.23, una versión de 2014 que era conocida en la comunidad de Drupal por tener 23 vulnerabilidades conocidas y graves que podían permitirle a un atacante entrar al sitio web y hacer exactamente lo que le diera la gana.

 

Soluciones implementadas por Mossack Fonseca

De primeras, por lo que se ha podido ver, han actualizado las reglas del .htaccess para evitar que los readme puedan ser accesibles desde el navegador del visitante, y se supone que también han actualizado el Revolution Slider porque si no les van a volver a entrar por la puerta grande.

Por otro lado, por lo que se ha podido ver, han implementado Incapsula como WAF (Web Application Firewall), aunque personalmente creo que hay soluciones mucho más potentes, eficientes, configurables y funcionales que Incapsula y su sistema de seguridad.

wordpress hacked mossack fonseca

Lo que es importante recalcar de todo esto, es que ha tenido que ocurrir algo muy grave para que los administradores del sitio web pusieran medidas de seguridad para prevenir los problemas GRAVES.

Pero esto no es todo, estamos a día 13 de abril (el hackeo fue el 3 de abril) y el “portal seguro” de Mossack Fonseca creado con la versión 7.23 de Drupal, siguen sin actualizarse a una versión que no tenga 23 vulnerabilidades graves conocidas y con PHP 5.3.

 

Conclusiones

Antes de nada, decir que WORDPRESS ES SEGURO, también decir que, ALO EASYMAIL NEWSLETTER PLUGIN es medianamente seguro, y que WP SMTP PLUGIN es medianamente seguro, el problema aquí está en que se utiliza software que nadie se ha molestado en actualizar y esto es lo que realmente ha causado un problema.
Cualquier profesional del sector especializado en seguridad web, con unas indicaciones mínimas de “saber por dónde van los tiros” podía haber accedido a estos datos con mayor o menor esfuerzo dependiendo de lo acostumbrado que esté a este tipo de temas.

TODO lo que le ha ocurrido a Mossack Fonseca, fue culpa ÚNICA Y EXCLUSIVAMENTE de ellos, es imperdonable no actualizar Drupal desde 2014 y Revolution Slider desde 2013, no hacerlo es simplemente una falta de profesionalidad y una muestra de “pasotismo” que les ha llevado al desastre en el que se han visto sumergidos, y lo que más nos molesta a los profesionales de WordPress, es que WordPress va cogiendo “fama de inseguro” por culpa de este tipo de problemas.

No vamos a entrar en debates de que, si es bueno o malo que esto se destape, ya que queremos mostrarnos neutrales y realmente hablar de WordPress (que es nuestra especialidad), pero sí que tenemos que decir, que esta es la razón por la que somos tan pesados diciéndole a nuestros clientes que tienen que proteger su WordPress para evitar problemas.

Evidentemente en este caso hay muchos aspectos que se deben tener en cuenta, pero está claro que, si Revolution Slider estuviera correctamente actualizado a la última versión estable disponible, el hackeo no hubiera sido “un paseo”.

 

 

[Total: 8 Promedio: 4.9]

About the autor:

Mi nombre es Alvaro Fontela, soy consultor Wordpress y blogger activo desde hace años. Co-Fundador de Raiola Networks, escribiendo sobre Wordpress en este blog día tras día.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies