Ako sa dostali do obehu Panama Papers?

Mossack Fonseca, panamská advokátska kancelária stojaca v centre kauzy Panama Papers, mohla byť hacknutá cez zraniteľnú verziu WordPress modulu s názvom Revolution Slider. Dáta, ktoré týmto spôsobom unikli, mali celosvetový dopad a mimo iné sa zaslúžili napr. o rezignáciu islandského premiéra, spustenie vyšetrovania daňových únikov v niekoľkých desiatkach krajín a zasiahli také osobností verejného života a politiky ako napr. ruského prezidenta Vladimíra Putina, britského predsedu vlády Davida Camerona, svetoznámych umelcov či športovcov. Ide o historicky najväčší únik dát pre novinárov, ktorý obsahuje 2,6 TB dát a 11,5 milióna dokumentov.

Forbes vyhlásil, že v firma Mossack Fonseca (MF) dávala klientom prístup prostredníctvom svojho portálu, ktorý fungoval na zraniteľnej verzii systému Drupal. Analýzou internetových stránok Mossack Fonseca sa však zistili nasledovné skutočnosti:

MF stránky fungovali na redakčnom systéme WordPress, s nainštalovaným modulom Revolution Slider vo verzii, ktorá bola náchylná k útoku a to obzvlášť, pokiaľ mal útočník vytvorenú schránku na webovom serveri.

Zistilo sa, že stránky MF stránky používali modul Revslider vo verzii 2.1.7. avšak zraniteľné verzie sú všetky, až po verziu 3.0.95.

Momentálne sú stránky chránené firewallom, ktorý zabraňuje zneužitiu tejto chyby. Je to nedávna zmena, ktorá sa uskutočnila až v posledných mesiacoch.

Prezretím IP histórie na Netcraft sa tiež dozvedáme, že ich IP adresa bola na rovnakej sieti ako ich mailové servery.

ViewDNS potvrdzuje, že toto bol nedávny krok na ochranu stránky:

Podľa ďalších zistení na jednej z ich IP adries na sieti 200.46.144.0 funguje Exchange 2010 mail server, čo indikuje, že tento blok siete je buď ich firemná sieť, alebo prinajmenšom má rozsiahle IT aktivity patriace k tejto spoločnosti. Ukazuje to taktiež, že používajú vzdialený prístup cez VPN.

Rýchle zhrnutie:

Zistilo sa, že stránky fungujú na jednej z najčastejších zraniteľností systému WordPress a tou sú neaktualizované externé moduly, pričom jeden z nich je práve Revolution Slider.

  • Ich web server nemal žiadny firewall.
  • Ich webový server bol na rovnakej sieti ako ich emailový server so sídlom v Paname. 
  • Citlivé dáta klientov dávali na portál svojej web stránky. Toto zahŕňalo aj klientské prístupy k dátam. 

Teória o tom, čo sa stalo MF:

15. októbra 2014 bolo zverejnené pracovné zneužitie zraniteľnosti wordpress modulu Revolution Slider na princípe exploitu databázy. V praxi to znamenalo, že túto zraniteľnosť mohol využiť ktokoľvek kto sa v tom aspôn trošku vyzná a mal čas. Stránky ako mossfon.com, ktoré boli pred mesiacom ešte nezabezpečené a otvorené, boli jednoduchým terčom zneužitia.

Útočníci často vytvárajú roboty na zachytenie URL, ako napríklad: http://mossfon.com/wp-content/plugins/revslider/release_log.txt

Akonáhle sa ukáže zraniteľnosť stránky, robot ju jednoducho využije a naloguje sa do databázy. Útočník potom svoj úlovok môže prehodnotiť podľa obsahu. V tomto prípade pravdepodobne zistil, že sa dostal k dátam advokátskej kancelárie, ktorá mala aktíva na rovnakej sieti ako zariadenie, ku ktorému mal teraz prístup. Následne použil WordPress web server ako vstupnú bránu do firemného systému a začal sťahovať dáta.

Technické podrobnosti o zraniteľnosti Revolution Slider

Toto je stručný technický sumár od analytika z WordFence, ktorý popisuje zneužitú zraniteľnosť v module Revolution Slider.

Revolution Slider po verziu 3.0.95 je náchylný k neoverenému vzdialenému nahrávaniu súborov. Má v sebe akciu zvanú `upload_plugin`, ktorú vie vyhľadať neautorizovaný užívateľ a komukoľvek poskytuje možnosť nahrať zip súbor obsahujúci zdrojový kód PHP do dočasného adresára v rámci pluginu revslider.

Ukážky kódu v obrázku nižšie vás zavedú k bodu so špecifickým problémom v revslider. Všimnite si, že developer revslideru umožnil neoprávnenému užívateľovi vytvoriť AJAX ( alebo dynamický prehliadač HTTP) pre zistenie funkcie, ktorá môže byť použitá iba autorizovaným užívateľom a zároveň umožní vytvorenie súboru, ktorý nahral útočník.

Záver

MF boli upozornení na zraniteľnosti, ktoré ich web obsahoval, ale stále by potrebovali aktualizáciu systému. Na ochranu vášho webu na WordPress je veľmi dôležité aktualizovať pluginy, témy a aj jadro systému, hneď keď bude k dispozícii aktualizácia. Pre zvýšenie bezpečnosti, by sme odporúčali sledovať najmä bezpečnostné aktualizácie. Dostupnosť aktualizácií si môžete pozrieť priamo vo svojom administračnom rozhraní.

V tomto prípade majiteľ stránku dlhodobo neaktualizoval, čo malo za následok globálny dopad a poukázanie na prepieranie peňazí cez daňové raje, zasiahlo to i svetových lídrov a zároveň to bol najväčší únik dát pre novinárov v histórii.

Ak chcete mať svoje dáta chránene, odporúčame vždy aktualizovať vaše stránky na najnovšie vydané aktualizácie. Ako je vidno, na prvý pohľad minimálna časová náročnosť i finančná prácnosť môže mať aj globálny dopad. :)