Ayer, el portal web del sindicato Comisiones Obreras (CCOO) se convirtió en blanco de un ciberataque que lo inutilizó, llenándolo de mensajes críticos contra los "sindicatos del Gobierno". Aún hoy, cuando el usuario intenta acceder a la web, sólo se encuentra con el logotipo de CCOO y el siguiente mensaje:
"En mantenimiento: La web solicitada ccoo.es, se encuentra en mantenimiento y no está disponile (sic) en estos momentos".
Tras el ataque, CCOO emitió un comunicado informando sobre la situación y anunciando que trabajaban en la resolución de los daños causados por el ataque informático. La organización sindical también confirmó que su departamento informático estaba trabajando arduamente para restaurar la seguridad de su red.
Pero lo novedoso de este ataque no reside en la mera 'vandalización' de una web, sino en el hecho de que el propio hacker (que utiliza 'Farlopa' como nombre de guerra) enlazó en un primer momento a su web… que incluye un post —titulado "Mariscada virtual en el servidor de Comisiones Obreras"— en el que se relata la vulnerabilidad que aprovechó y los pasos que fue dando para culminar el hackeo.
"Hacía tiempo que no intentaba rootear un servidor, y cuando he visto la apariencia descuidada del portal de afiliación de CCOO, no he podido resistir la tentación de hacer algunas pruebas. […] A primera vista, la página afiliate.ccoo.es consta de un formulario de datos personales para tramitar la afiliación al sindicato".
Detectando el punto débil
Nuestro protagonista decidió realizar algunas pruebas para evaluar la seguridad de la plataforma… notando que la URL del sitio incluía nombres de archivo como parámetros, lo que sugiere que podría existir una vulnerabilidad de cruce de directorio. Intentó hacer uso de la ruta /proc/ sin éxito para inyectar código, pero esta tentativa le permitió enumerar datos sobre el servidor.
Al analizar más a fondo, notó que las rutas en la URL tenían una letra 'E' delante. "Pensando que podía tratarse de un volumen montado", experimentó con diferentes letras, descubriendo que la letra 'D' le permitía acceder a los archivos PHP en modo texto, sin que fueran procesados. Esto le proporcionó una comprensión básica de cómo funcionaba el archivo 'coco.php'.
Luego, identificó un cargador de archivos en el formulario de afiliación que almacenaba las subidas en una ubicación específica, y lo aprovechó para cargar un archivo que contenía código, para ejecutarlo desde el mencionado coco.php.
Culminando el acceso al sistema
Al subir el archivo y completar el formulario, pudo acceder a la ruta del archivo subido y ejecutar comandos en el sistema como el usuario 'www-data'. Pero nuestro hacker no se detuvo ahí: continuó su investigación y encontró datos de autenticación para bases de datos en varios archivos de configuración. Utilizó estas credenciales para acceder a las bases de datos y exportar toda su información.
Lo más sorprendente fue que, tras obtener acceso a la base de datos, encontró una contraseña en texto plano asociada a una cuenta "root" (cuentas de administrador en sistemas basados en Unix). Cuando intentó iniciar sesión con esta contraseña, tuvo éxito.
Sin embargo, señaló que también podría haber logrado escalar privilegios explotando una vulnerabilidad conocida (CVE-2017-7533) debido a lo desactualizado del sistema.
Después de asegurarse de que había obtenido control sobre el sistema, el investigador modificó la página de inicio. Como resultado, alrededor de 50 subdominios de ccoo.es (en su mayor parte, federaciones regionales) comenzaron a mostrar su nuevo archivo index (que contenía mensajes expresando su deseo de contar una "organización de clase que defienda los intereses de los trabajadores").
En Genbeta | Alcasec es el hacker que decía conocer datos del 90% de los españoles, pero ha habido muchos otros más peligrosos
Ver 7 comentarios