Municipalidad de San Joaquín #Hacked

En febrero de este año, publiqué múltiples y complejas fallas en uno de los servidores web de la Municipalidad de Huechuraba. ¿Qué fue lo que hicieron? Después de que les notifiqué los problemas, sólo corrigieron las vulnerabilidades más visibles, mientras que otras relacionadas a SQLi (Inyección de Consultas SQL) y validación del dominio en whitelist de Google, continúan activas. ¿Estarán esperando a que aparezca un dump o leak de la base de datos interna de la Municipalidad de Huechuraba publicada en Pastebin.com para tomar cartas en el asunto? Sin ir más allá, así es como luce todavía, un mes después, el principal sitio web de la Municipalidad de Huechuraba:

Municipalidad de Huechuraba

Municipalidad de San Joaquín #Hacked

Sumido en la duda, ¿qué otra municipalidad también es vulnerable o ha sido atacada? Revisando de manera sencilla, como siempre, sólo con la ayuda de Google, advertí que otra de las municipalidades vulnerables y que efectivamente han sido atacadas, es la Municipalidad de San Joaquín.

Pero cuando digo que fue “atacada”, hablo de un espectro global: existe un 99% de probabilidades de que los atacantes tengan en su poder todas las bases de datos internas de la municipalidad, así como de todos los departamentos que fueron vulnerados, y que aquí demuestro.

Así mismo, en base a que nadie de la Municipalidad de San Joaquín conocía la grave intrusión, hasta antes de que yo publicara este artículo, es altamente probable que los atacantes aún tengan en sus manos acceso irrestricto a todo el servidor web de la municipalidad.

Municipalidad de San Joaquín: Redsanjoaquin.cl

Tras buscar la web de la Municipalidad de San Joaquín, advertí que el dominio municipalidadsanjoaquin.cl está disponible, así que si alguien quiere suplantar a la municipalidad puede comprar el dominio y hacerlo, y no sólo con ese dominio, sino que también este: municipalidaddesanjoaquin.cl (pésima gestión TI)

De esta manera percaté que el dominio oficial de la Municipalidad de Joaquín, es redsanjoaquin.cl, o al menos ese es utilizado de manera central. Noté que es un CMS WordPress, así que lo primero que quise hacer fue abrir los principales directorios de la estructura del CMS, y me encontré con esto: http://www.redsanjoaquin.cl/wp-content/

Redsanjoaquin.cl Municipalidad de San Joaquín

Sorprendido, me fui a realizar una consulta reverse ip lookup para verificar qué otros dominios estaban asignados al mismo servidor web, y la consulta me arrojó lo siguiente:

  • redsanjoaquin.cl
  • comunitariolalegua.cl
  • sanjoaquineconomicolaboral.cl
  • culturasanjoaquin.cl
  • sanjoaquineduca.cl
  • opdsanjoaquin.cl
  • sanjoaquindeportes.cl
  • sanjoaquinmedioambiente.cl
  • sanjoaquinsaludable.cl

Verifiqué que fueran dominios válidos y activos; luego, tras constatar de que todos usan WordPress, decidí abrir el mismo directorio de la estructura del CMS en cada uno de ellos… Pude comprobar que casi todos los dominios fueron vulnerados sigilosamente por los atacantes. ¿Por qué sigilosamente? Cuando un intruso que es inteligente, toma el control de un servidor web, no realiza defacement del home, pero sí lo hace en directorios un poco más apartados, con la finalidad de dejar una huella, publicarla en diversos lugares, y tratar de sacar el mayor provecho posible del servidor hasta que el administrador descubra cuál es la falla que permitío la entrada del cracker.

Comunitariolalegua.cl

Comunitariolalegua.cl Municipalidad de San Joaquín

http://comunitariolalegua.cl/wp-content/

Sanjoaquineconomicolaboral.cl

Sanjoaquineconomicolaboral.cl Municipalidad de San Joaquín

http://sanjoaquineconomicolaboral.cl/wp-content/

Culturasanjoaquin.cl

Culturasanjoaquin.cl Municipalidad de San Joaquín

http://www.culturasanjoaquin.cl/wp-content/

Sanjoaquineduca.cl

Sanjoaquineduca.cl Municipalidad de San Joaquín

http://sanjoaquineduca.cl/wp-content/

Opdsanjoaquin.cl

Opdsanjoaquin.cl Municipalidad de San Joaquín

http://opdsanjoaquin.cl/wp-content/index.php.bak

Sanjoaquindeportes.cl

Sanjoaquindeportes.cl Municipalidad de San Joaquín

http://www.sanjoaquindeportes.cl/wp-content/

Sanjoaquinsaludable.cl

Sanjoaquinsaludable.cl Municipalidad de San Joaquín

http://sanjoaquinsaludable.cl/wp-content/

IIA Ingeniería e Informática Asociada Ltda.

La dirección IP y el servidor web en cuestión, están asociados a la conocida compañía IIA, Ingeniería e Informática Asociada Ltda. ¿Cómo es posible que nadie haya percato una intrusión de este tipo? ¿Cuáles son los niveles de seguridad que esta compañía ofrece? Claramente, no es el que merece o debiera tener una municipalidad, teniendo en cuanta que los atacantes, ya tienen en su poder todas las bases de datos del servidor en cuestión.

LACNIC

Al momento de esta revisión, los DNS de la IP 200.6.114.194 apuntan a configuraciones de LACNIC. ¿Qué intervención y nivel de responsabilidad tiene LACNIC respecto de esta intrusión? ¿Algún tipo de relación con la empresa IIA (Ingeniería e Informática Asociada Ltda.)?

Finalmente…

Tenemos que subir los niveles de seguridad informática en Chile, no es posible que los datos de una municipalidad lleguen a manos de atacantes que además, son extranjeros, pudiendo sacar provecho de cualquier tipo a las bases de datos del servidor (dinero, ciberguerra, estafas, etc).

Si la seguridad en Chile está por suelo, no es culpa del proveedor, es responsabilidad de la empresa o institución que contrata el servicio. ¡Por favor, exijan seguridad, establezcan contratos y acuerdos de responsabilidad económica, operativa y logística, para que el proveedor siempre se responsabilice por no tener sistemas de seguridad y mitigación de primer nivel! La culpa no es del chancho, sino de quién le da el afrecho.

Por último, ¿cuál es la finalidad de alojar tantos sitios web dentro de una sola cuenta? ¿Acaso no tiene la Municipalidad de San Joaquín, los recursos para contratar servicios dedicados para cada departamento? Lo barato cuesta caro en la vida, siempre ha sido así.

Esto ha sido notificado a la Municipalidad de San Joaquín. Espero que sean un poco más rigurosos que la Municipalidad de Huechuraba…