La mayor filtración de información en la historia (2.6 TB) sigue causando revuelo mundial. Los Panama Papers, al parecer, salieron volando a través de vulnerabilidades en instalaciones de Wordpress y Drupal usadas por la firma panameña.
De acuerdo con Forbes, el sitio Web principal de Mossack Fonseca está construido sobre Wordpress, mientras que un portal para interactuar con clientes fue desarrollado con Drupal, ambos CMS bastantes populares.
Vulnerabilidad
Los creadores de WordFence, un popular plugin de seguridad para Wordpress, revelaron vulnerabilidades críticas en el sitio Web de la firma debido al rezago en actualizaciones de la plataforma y uso de plugins vulnerables, situación conocida por más de un año.
Mientras tanto, Forbes encontró que la versión de Drupal usada en el portal de clientes tenía más de 3 años de antigüedad y al menos 25 vulnerabilidades conocidas.
Penetración
El análisis de WordFence en Wordpress determinó que la vulnerabilidad más grave encontrada permitía la ejecución de un intérprete de comandos (shell) en el servidor Web, que opera en el mismo bloque de red de los servidores de correo, colocados en Panamá.
De las 25 vulnerabilidades identificadas en el portal del clientes en Drupal, habrían dos de ellas que también permitían la ejecución de código malicioso en el servidor Web, en que el se compartía supuestamente contenido de los clientes de la compañía.
Conclusión
Los dos estudios de WordFence y Forbes, determinaron que la intervención de correos electrónicos pudo haberse realizado a través de las vulnerabilidades en el sitio público basado en Wordpress, mientras que los contenidos se filtraron por el portal de clientes en Drupal.
Cabe mencionar que los mensajes de correo electrónico eran transferidos a través de canales inseguros, las credenciales de algunas cuentas estaban expuestas en la configuración del Wordpress y que no habrían explotado las vulnerabilidades de haber actualizado sus plataformas.
La explotación de estas vulneraibilidades no requiere amplia experiencia, fueron de conocimiento público y pudieron ser identificadas incluso por robots automatizados que recorren Internet cada minuto buscando agujeros de seguridad.
Referencias
- Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal
- From Encrypted Drives To Amazon's Cloud -- The Amazing Flight Of The Panama Papers
- Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible Cause
- Panama Papers in Numbers, Süddeutsche Zeitung