Caso Mossak Fonseca (Panama Papers) y Drupal, ¿Hackeado? ¿Qué pudo haber pasado?

June 18, 2021

Disclaimer: Este post está hecho en base a suposiciones y otros comentarios realizados en threads de foros en internet y nada de esto debe ser considerado como cierto, pero queremos demostrar la importancia de puntos que mencionaremos a continuación.

Para ponerlos en contexto, si no saben que es el caso Mossak Fonseca leer el siguiente enlace: http://www.prensa.com/judiciales/Claves-entender-caso-Mossack-Fonseca_0_4404309643.html

En resumen el Caso Mossak Fonseca, aka "Panama Papers" es el mayor data breach en la historia e incluye mas de 4.8 millones de correos además de documentos.

Se cree que los correos de Mossak Fonseca fueron conseguidos a través de un sitio Wordpress y que se haya ganado acceso a documentos a través de un portal Drupal. Referencia aquí.

En este post hablaremos de lo que pudo haber pasado con Drupal. Según mencionado por un cliente de la firma el portal para clientes es: https://portal.mossfon.com/.

Y esta es la descripción que hay sobre él:

"The Mossfon Client Information Portal is a secure online account that enables to access your corporate information anywhere and everywhere, with real time updates of your ongoing request."

image

La versión de Drupal que estaba corriendo al momento de ser supuestamente atacado el sitio era Drupal 7.23. que en ese momento ya tenía reportada 23 vulnerabilidades, en este momento 31:

https://www.cvedetails.com/version/156577/Drupal-Drupal-7.23.html

Esto es solo el core de Drupal, sin contar las vulnerabilidades que podrían estar en los módulos contribuidos.

Era muy fácil darse cuenta que Drupal estaba en esa versión porque era posible acceder el changelog del sitio en el link:

https://portal.mossfon.com/CHANGELOG.txt

Que ya esta regresando Forbidden, pero aquí un screenshot:

image

Fuente: https://www.wordfence.com/blog/2016/04/panama-papers-wordpress-email-connection/

Pero al parecer solo bloquearon este archivo y hay otros archivos que revelan información como por ejemplo el INSTALL.txt:

https://portal.mossfon.com/INSTALL.txt

Estos son archivos básicos que vienen en toda instalación de Drupal y que deberian ser protegidos o eliminados. Por esta razón es muy posible que Drupal haya sido uno de los puntos de entrada de este importante breach.

Tengo Drupal u otra plataforma en mi organización, ¿Qué puedo hacer?

Los programadores no somos perfectos y es de esperarse que en el software publicado se encuentren fallas de seguridad en algún momento. Esto ocurre en todo tipo de software; Sistemas operativos, plataformas web (Recuerdan el celebrity breach de icloud?), móviles, aplicaciones de escritorios, etc.

Drupal específicamente es una plataforma que se encuentra detrás de una comunidad que toma la seguridad bastante en serio, que posee un equipo dedicado a la seguridad, el Drupal Security Team que apoya a los programadores y resuelven temas de seguridad relacionados a Drupal.

Recientemente en el sitio de drupal.org incluyeron una nueva característica que muestra un ícono de escudo en los módulos contribuidos, esto significa que esa versión del módulo fue inspeccionada por el equipo de seguridad de Drupal. Podemos ver un ejemplo en la página del proyecto panels:

https://www.drupal.org/project/panels

En este momento la versión para Drupal 7 posee "coverage" del Drupal Security Team:

image

Que hubiera podido hacer Mossak Fonseca para mejorar la seguridad de su sitio hecho en Drupal:

  • Mantener el core de Drupal y los módulos contribuidos actualizados: No necesariamente necesitamos tener todos los módulos en su última versión, pero si la nueva versión aporta nuevas actualizaciones de seguridad si es de suma importancia instalar su actualización, lo mismo aplica para el Drupal Coree, no hacerlo le entrega al hacker una vía fácil para penetrar nuestro sitio web.
  • Evitar dejar a luz pública archivos que revelen información específica de nuestra plataforma, como la versión del core que corre.: En el caso de MF el changelog.txt y muchas veces los response headers de la aplicación revelan mucha información de la plataforma sobre la que corre el sitio.
  • Login por HTTPS: Si el sitio tiene login para usuarios, básico es que el login del mismo sea HTTPS requerido para manejar una conexión cifrada.

Estas son solo algunas configuraciones básicas, pero hay otra serie de cosas que se pueden realizar mara mantener el su sitio seguro. Si tiene alguna duda o necesita información sobre la seguridad de su sitio no dude en contactarnos. contactarnos.

Fuentes: