Un plugin de WordPress puede ser el origen del ataque a Mossack Fonseca

Desde que se destapó el asunto, ha habido muchos rumores sobre cómo fue realizado el ataque hacker que permitió adquirir millones de documentos del bufete de abogados Mossack Fonseca, especializado en la creación de sociedades opacas para que otras personas pudiesen esconder su dinero en paraísos fiscales. Este caso es conocido como Panama Papers o Los Papeles de Panamá.

En los últimos días ha estado circulando una posibilidad sobre cómo ha podido llevarse a cabo el ataque, y todo apunta a un plugin para WordPress llamado Revolution Slider. Los sliders se han convertido en todo un estándar sobre cómo debe presentarse el contenido de un sitio web, buscando atraer al usuario hacia contenidos destacados o bien para mostrar de forma rápida y gráfica las virtudes de una empresa o proyecto. Antes hechos con Flash, actualmente la mayoría de estos funcionan con JavaScript y tecnologías derivadas como jQuery.

Con todo lo dicho, es obvio que el sitio web de Mossack Fonseca utiliza un WordPress con el plugin Revolution Slider. A pesar de ser un CMS orientado sobre todo para su uso en blogs, su popularidad y facilidad para ser modificado ha hecho que sea empleado para sitios web de muchos tipos, incluido corporativos. De hecho el mencionado CMS ya acaparaba en torno 25% de todo Internet en 2015.

Según Wordfence, el sitio web de Mossck Fonseca está ejecutando un WordPress con una versión vulnerable de Revolution Slider. La versión del plugin utilizada por el sitio web de Mossack Fonseca es la 2.1.7, y se sabe que todas las versiones hasta la 3.0.95 son susceptibles de poder realizar un ataque a través de ellos. Dicho de otra manera, son vulnerables.

Se ha detectado en el último mes que se ha puesto el sitio web detrás de un firewall con el fin de protegerlo. Si se muestra el historial de la IP a través de Netcraft, se puede observar que la IP está en el mismo bloque de red que los servidores de correo electrónico.

A través de ViewDNS.info se puede confirmar los recientes movimientos con el fin de proteger el sitio web de posibles ataques.

Según el servicio de rastreo Shodan, la IP 200.46.144.0 está ejecutando un servidor de correo electrónico Exchange 2010, que muestra al menos una serie de activos IT pertenecientes a Mossack Fonseca y que se utiliza a través de una VPN. En la imagen se puede apreciar como las direcciones IP utilizadas para los correos de Mossack Fonseca están en el mismo bloque de red.

Cómo se pudo haber realizado el ataque

Como ya hemos comentado, versiones antiguas de Slider Revolution son vulnerables. En Wordfence explican que los usuarios sin privilegios pueden hacer una llamada a una función de AJAX que en teoría solo tendría que ser utilizada por usuarios con privilegios, y que permite la creación de ficheros por parte de un atacante en el servidor.

Con el fin de demostrar lo que están explicando, han subido un vídeo demostrativo sobre cómo se puede realizar el ataque sobre Revolution Slider.

Mossack Fonseca no ha querido confirmar si realmente este ha sido el origen del ataque a sus servidores de correo electrónico, aunque sí ha reconocido haber recibido un ataque hacker. ¿Conoceremos algún día toda la verdad? Eso está por ver, pero la posibilidad planteada por Wordfence no es ni mucho menos disparatada.