Municipalidad de Huechuraba: ¡Apaguen el servidor!

Tras buscar datos acerca del Permiso de Circulación, advertí que uno de los servidores web de la Municipalidad de Huechuraba muestra la conocida alerta “Sitio posiblemente pirateado” en Google:

Municipalidad de Huechuraba, "Sitio posiblemente pirateado".

Bueno, lo guardé y seguí trabajando. Cada cosa a su tiempo.

Días después, tras recordar esto, decidí revisarlo con la finalidad de comprobar si realmente era un “Sitio posiblemente pirateado”, desde cuándo, cómo y hasta qué punto. Los resultados fueron más que interesantes.

Intrusión al Servidor Web & Publicidad Spam

Lo primero que llamó mi atención, fue el hecho de que tienen diversas directorios conteniendo archivos HTML con publicidad Spam, en japonés e inglés:

Municipalidad de Huechuraba Hacked

Municipalidad de Huechuraba Hacked

Municipalidad de Huechuraba Hacked

Efectivamente, fueron vulnerados. Incluso, el o los atacantes, añadieron archivos sitemap con la finalidad de habilitar una mejor y más rápida indexación de los motores de búsqueda:

Municipalidad de Huechuraba Hacked Archivos Sitemap

Municipalidad de Huechuraba Hacked Archivos Sitemap

¿Cómo los atacantes lograron esto y por qué razón no han realizado un defacement o eliminado completamente el sitio web del servidor? Responderé de inmediato a la última pregunta, porque siempre lo digo: un cracker que busca beneficios de algún tipo, no hace defacing y explota todas las posibilidades que un servidor web comprometido ofrece. Esa es la verdad. Ahí es dónde actúan crackers y carders, entre otros (haciendo un paréntesis, he sido testigo de cómo grupos hacktivistas y miembros de estos grupos actuando de manera independiente, atacan a crackers y carders, porque pienso igual que ellos: no me gustaría que robaran las tarjetas de crédito de algún amigo, familiar o ser querido. Los hacktivistas piensan de otra manera… Fin del paréntesis).

Ataques de Ingeniería Social & Fugas de Información

Antes de responder a la primera pregunta enunciada arriba, es necesario plantear otra y hacer hincapié, como siempre, en la amada Ingeniería Social, que se alimenta de la creatividad y las capacidades intelectuales del atacante y los alicientes que el target entrega. ¿Cómo podemos, entonces, realizar un ataque global de Ingeniería Social para robar usuarios y contraseñas de correos electrónicos de la Municipalidad de Huechuraba, propagar malware espía en sus computadoras e intentar tomar el control de la red para robar y editar información a distancia sin ser detectados?

La Municipalidad de Huechuraba ha estado filtrando información interna y gravemente frágil a través de su Intranet. Si es una Intranet, ¿por qué está publicada en Google es de acceso público?

Intranet privada con acceso público desde Google de la Municipalidad de Huechuraba

Intranet privada con acceso público desde Google de la Municipalidad de Huechuraba

Lo más delicado de todo esto, es que Google evidencia la fragilidad de estas malas prácticas en Chile, sugiriendo automáticamente búsquedas de otras aplicaciones web Intranet en el país:

Intranet de municipalidades de Chile sugeridas por Google

Volviendo a la Municipalidad de Huechuraba, veamos cuál es el nivel de las fugas de información interna que han provocado a causa de la publicación de su Intranet en Google.

Nombres, teléfonos, email, departamentos de los empleados & Contraseñas

No sólo han publicado su Intranet dejándola con acceso público, sino que además es posible obtener información detallada de los empleados, con una letra:

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Generación de Órdenes de Trabajo & Supervisión Comunal (suplantación del alcalde Carlos Cuadrado Prats)

Ahora que tenemos los nombres completos, los teléfonos, las direcciones de email y sabemos en qué departamento trabaja cada una de estas personas, podemos generar órdenes de trabajo y de supervisión comunal, haciéndonos pasar por cualquiera de sus empleados, o suplantando al alcalde.

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Obviamente, la solicitud a nombre de Carlos Cuadrado Prats no fue generada. No sean malulos.

Como si fuera poco suplantar al alcalde de la Municipalidad de Huechuraba (Carlos Cuadrado Prats), podemos, además, consultar todas las órdenes de trabajo y solicitudes de supervisión, en las cuales son publicadas incluso, cambios de usuarios y contraseñas de administradores de dominios web:

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Modificación Datos de la Municipalidad de Huechuraba

Esto no ha terminado. ¿Qué tal si te digo que puedes modificar diversos datos internos de la municipalidad a través de la Intranet, tales como inventario, permiso de circulación, y otros más?

Intranet Municipalidad de Huechuraba: edición y cambio de datos municapales internos

Intranet Municipalidad de Huechuraba: edición y cambio de datos municapales internos

Upload de Archivos

Ahora sí trataré de responder a la más grande inquietud: ¿cómo los atacantes lograron ingresar al servidor y manipularlo a su antojo para obtener toda clase de beneficios? Mientras revisaba todo lo anterior, decidí buscar alguna shell web, cuando de pronto, me vi frente a algo bastante extraño en Google:

Municipalidad de Huechuraba Hacked: upload arbitrario de archivos

Municipalidad de Huechuraba Hacked: upload arbitrario de archivos

No hallé la shell web de los intrusos, pero sí un flamante y suculento upload PHP que, de manera irrestricta, permitiría subir al servidor web toda clase de archivos. Esta es, claramente, una posible puerta de entrada.

Inyección de SQL

Tras todo lo anterior, ya cualquier cosa sería posible. ¿SQL Injection? Sí, señores. Al realizar una pequeña, simple y básica consulta, es posible obtener todas las bases de datos alojadas en el servidor, consultarlas, exportarlas, y hacer con ellas lo que nos plazca, si fuéramos malintencionados, por supuesto. No exporté ni edité nada porque no es legal, y tampoco publicaré la URL vulnerable o el tipo de inyección, con el objetivo de dar tiempo a la Municipalidad de Huechuraba para que arreglen estos graves desperfectos en sus sistemas. Todos sabemos que, con esta vulnerabilidad, es posible robar toda la información contenida en las bases de datos, incluyendo los usuarios y las contraseñas de acceso a las diversas aplicaciones web de la Municipalidad de Huechuraba:

Municipalidad de Huechuraba Hacked: SQL Injection o Inyección de SQL

Robo de Contraseñas, propagación de Malware & Control de la Red: Apocalipsis

Trataré de explicar las consecuencias de todas estas vulnerabilidades:

Vamos, piensen como crackers. ¿Listo? Ahora que tenemos todos los datos de los empleados de la Municipalidad de Huechuraba, acceso irrestricto a sus aplicaciones web para suplantar a todos los empleados incluyendo al mismísimo alcalde, y sabemos cómo ingresar al servidor para tomar control de éste y robar las bases de datos, podemos realizar lo siguiente:

Primera posibilidad,

  1. Ideamos un concepto como “Nuevo Acceso web Obligatorio de la Municipalidad”; “(…) El acceso es obligatorio con su email y contraseña de la Municipalidad (…)”
  2. Diseñamos un hoax que gráficamente utilice el look and feel de la Municipalidad de Huechuraba.
  3. Ingresamos al servidor y creamos un directorio o archivo web de las mismas características.
  4. Enviamos el hoax a todos los empleados de la Municipalidad de Huechuraba, y como sabemos en qué departamentos trabajan, el hoax no lo enviamos a nadie que tenga relación con informática.
  5. Las víctimas ingresan a la aplicación, y con esto obtenemos acceso a los correos electrónicos de la municipalidad.
  6. Si crees en las conspiraciones, podríamos matar el tiempo buscándolas en el inbox, o en las carpetas de enviados o trash de cada cuenta de email.
  7. Toda está limitado por la imaginación.

Segunda posibilidad,

  1. Ideamos otro concepto: “Aplicación Obligatoria de Seguridad de la Municipalidad de Huechuraba”; “(…) Todos los empleados de la municipalidad deben instalarlo a la brevedad, o sus correos electrónicos y la conexión a Internet sufrirá problemas (…)”.
  2. Repetimos los procesos 2, 3 y 4 del Primer Acto.
  3. Las víctimas instalan el malware en sus computadoras, logrando con esto control de la red.
  4. Si tienes complejo de Robin Hood, puedes editar desde tu terminal botnet los sueldos de los empleados, para que ganen menos dinero, o para que ganen más, todo depende de ti.
  5. Toda estará limitado por las capacidades y características de tu botnet.

Tercera posibilidad,

  1. Repites los actos 1 y 2.
  2. Publicas todo en Google.
  3. Eliminas el sitio web de la Municipalidad.
  4. Ordenas a tu red botnet municipal alguno de estos dos comandos: #blockdevice (si es randsomware) #killdevice (si eres un maldito descriteriado)
  5. Eliminas todo tipo de rastro al estilo Mr. Robot.

Última y real posibilidad,

Dejas de pensar como cracker y sigues leyendo.

La guinda de la torta (una de las cosas más graves)

Cuando daba por terminada mi pequeña y rápida investigación usando nada más que Google principalmente, decidí realizar una clase de ejercicio que me permitió advertir algo descomunal: los atacantes dejaron backdoors de una manera bastante audaz, accesibles de la forma menos esperada.

Lamentablemente, no puedo publicarlo…

Conclusiones

Mi humilde y más profesional consejo a la Municipalidad de Huechuraba: ¡apaguen el servidor!

Gracias a esta indagación sencilla y fugaz, logré responder a todas las preguntas que me plantié: desde cuándo, cómo y hasta qué punto uno de los servidores web de la Municipalidad de Huechuraba es un “Sitio posiblemente pirateado”; logramos saber de qué manera los atacantes ingresaron al servidor, qué hicieron y cómo son capaces de volver a ingresar, todo gracias a Google.

Ahora bien, me gustaría plantear una última inquietud: ¿qué detectó el o los algoritmos de Google para catalogar a la Municipalidad de Huechuraba como un sitio web pirateado y añadirles la alerta de seguridad en los SERP?

Jamás lo sabremos a ciencia cierta; podemos especular miles de teorías, comparar este estudio con el funcionamiento parcial de los algoritmos de Google, pero nadie conoce los algoritmos de Google, ¿o sí?

Estos problemas ya fueron notificados a la Municipalidad de Huechuraba con la finalidad de que los arreglen rápidamente.