Aviación Militar Bolivariana Full Disclosure

Después de que uno descubre algo, surgen dudas… Lo del Ejército de Bolivia, por ejemplo, fue motivado por lo que encontré acá en Chile; después de mirar rápidamente en las instituciones militares de Argentina, me detuve para dirigir mi atención con más ainco en Venezuela. Además, es inevitable no pensar en un país que constantemente está en tela de juicio por razones económicas, políticas, e incluso por cuestiones relacionadas a los Derechos Humanos.

De todas maneras, hace años atrás, recuerdo que varios Ministerios e instituciones militares y policiales del Gobierno de Venezuela fueron atacados y vulnerados por el team VenezuelanH, lo cual deja entrever que la rigurosidad en cuanto a seguridad informática, en ese momento, no estaba al nivel de un grupo hacktivista tan hábil. Pero, ¿qué podríamos encontrar?

Fuerza Aérea de Venezuela (Aviación.mil.ve)

Comencé buscando a la Fuerza Aérea de Venezuela, y me encontré con la conocida alerta de Google sobre sitios web pirateados. Manos a la obra entonces; el que busca siempre encuentra.

Fuerza Aérea de Venezuela

Gracias a esta alerta fue fácil comprobar que efectivamente están vulnerados:

Fuerza Aérea de Venezuela

Con esto me bastó para confirmar que tienen el servidor web tomado, y los intrusos están utilizándolo, como siempre, para SEO spam. ¿Dan resultados este tipo de técnicas SEO? Como sea… Fue en ese momento cuando busqué otros indicios y gracias a un FPD me di cuenta de que usan XAMPP:

Fuerza Aérea de Venezuela

Si usan XAMPP era probable que tuvieran algún servicio relacionado activo y… ¡Sorpresa!

Fuerza Aérea de Venezuela

¿Cuáles son las complicaciones? Podemos descargar y editar todas las bases de datos SQL, así como añadir otras bases de datos de manera arbitraria para usarlas a nuestro antojo (conexión para BotNets, phishing, malware, etc.).

Por otro lado, con sencillas consultas SQL es posible añadir nuevos usuarios con nivel de administrador para todas las aplicaciones web y CMS, logrando así un mayor control. Finalmente, si quisiéramos sólo intervenir los sitios web con un defacement o navegar en el servidor, inyectamos una shell web PHP. Para muestra de todo lo anterior, un vídeo de muestra:

Tomar el control de una institución militar como esta, nunca antes había sido tan fácil.

Estos problemas fueron notificados al CERT de Venezuela y a uno de los administradores del sitio web de la Aviación Militar Bolivariana, para que fortalezcan la seguridad. Siempre es bueno ayudar.