Conecta con nosotros

Noticias

Un plugin de WordPress puede ser el origen del ataque a Mossack Fonseca

Publicado el

Un plugin de WordPress puede ser el origen del ataque a Mossack Fonseca

Un plugin de WordPress puede ser el origen del ataque a Mossack Fonseca

Desde que se destapó el asunto, ha habido muchos rumores sobre cómo fue realizado el ataque hacker que permitió adquirir millones de documentos del bufete de abogados Mossack Fonseca, especializado en la creación de sociedades opacas para que otras personas pudiesen esconder su dinero en paraísos fiscales. Este caso es conocido como Panama Papers o Los Papeles de Panamá.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

En los últimos días ha estado circulando una posibilidad sobre cómo ha podido llevarse a cabo el ataque, y todo apunta a un plugin para WordPress llamado Revolution Slider. Los sliders se han convertido en todo un estándar sobre cómo debe presentarse el contenido de un sitio web, buscando atraer al usuario hacia contenidos destacados o bien para mostrar de forma rápida y gráfica las virtudes de una empresa o proyecto. Antes hechos con Flash, actualmente la mayoría de estos funcionan con JavaScript y tecnologías derivadas como jQuery.

Con todo lo dicho, es obvio que el sitio web de Mossack Fonseca utiliza un WordPress con el plugin Revolution Slider. A pesar de ser un CMS orientado sobre todo para su uso en blogs, su popularidad y facilidad para ser modificado ha hecho que sea empleado para sitios web de muchos tipos, incluido corporativos. De hecho el mencionado CMS ya acaparaba en torno 25% de todo Internet en 2015.

Según Wordfence, el sitio web de Mossck Fonseca está ejecutando un WordPress con una versión vulnerable de Revolution Slider. La versión del plugin utilizada por el sitio web de Mossack Fonseca es la 2.1.7, y se sabe que todas las versiones hasta la 3.0.95 son susceptibles de poder realizar un ataque a través de ellos. Dicho de otra manera, son vulnerables.

Versión de Revolution Slider empleado por el WordPress de Mossack Fonseca

Se ha detectado en el último mes que se ha puesto el sitio web detrás de un firewall con el fin de protegerlo. Si se muestra el historial de la IP a través de Netcraft, se puede observar que la IP está en el mismo bloque de red que los servidores de correo electrónico.

Historial de la IP de Mossack Fonseca según Netcraft

A través de ViewDNS.info se puede confirmar los recientes movimientos con el fin de proteger el sitio web de posibles ataques.

Direcciones IP de Mossack Fonseca según ViewDNS.info

Según el servicio de rastreo Shodan, la IP 200.46.144.0 está ejecutando un servidor de correo electrónico Exchange 2010, que muestra al menos una serie de activos IT pertenecientes a Mossack Fonseca y que se utiliza a través de una VPN. En la imagen se puede apreciar como las direcciones IP utilizadas para los correos de Mossack Fonseca están en el mismo bloque de red.

Direcciones de IP empleadas por los servidores de correo de Mossack Fonseca

Cómo se pudo haber realizado el ataque

Como ya hemos comentado, versiones antiguas de Slider Revolution son vulnerables. En Wordfence explican que los usuarios sin privilegios pueden hacer una llamada a una función de AJAX que en teoría solo tendría que ser utilizada por usuarios con privilegios, y que permite la creación de ficheros por parte de un atacante en el servidor.

Función de AJAX vulnerable de Revolution Slider hallado en el sitio web de Mossack Fonseca

Con el fin de demostrar lo que están explicando, han subido un vídeo demostrativo sobre cómo se puede realizar el ataque sobre Revolution Slider.

Mossack Fonseca no ha querido confirmar si realmente este ha sido el origen del ataque a sus servidores de correo electrónico, aunque sí ha reconocido haber recibido un ataque hacker. ¿Conoceremos algún día toda la verdad? Eso está por ver, pero la posibilidad planteada por Wordfence no es ni mucho menos disparatada.

Lo más leído