Xakep #305. Многошаговые SQL-инъекции
Кто украл два с лишним терабайта документов из архивов панамской юридической фирмы Mossack Fonseca, по-прежнему неизвестно. А вот на вопрос «как» ответить проще. Специалисты по информационной безопасности обнаружили в серверах Mossack Fonseca множество уязвимостей, которыми мог воспользоваться хакер.
В результате утечки публика узнала о связях государственных деятелей и влиятельных людей из различных стран с офшорными фирмами, которые используются для ухода от налогов, сокрытия доходов и другой нелегальной деятельности. Это, в частности, привело к отставке премьер-министра Исландии и нанесло серьёзный удар по репутации премьер-министра Великобритании. Среди прочего, в «панамском архиве» упомянута и компания близкого друга Владимира Путина, но российские власти отвергли предположение, что это выдаёт существование неких коррупционных схем.
Вскоре после утечки один из основателей Mossack Fonseca заявил, что похититель документов не был сотрудником компании. По его словам, серверы Mossack Fonseca взломаны хакером, который базируется в другой стране. Письмо, которое компания разослала клиентам, содержит дополнительные подробности. В нём утверждается, что злоумышленник получил доступ к почтовым серверам Mossack Fonseca.
У гипотетического взломщика была для того масса возможностей. Судя по всему, панамских юристов совершенно не занимали вопросы информационной безопасности. Они не обновляли серверный софт годами и пропускали даже самые важные апдейты, которые устраняют опасные уязвимости. Иными словами, для того, чтобы добраться до секретов мировых лидеров, не требовалась ни высокая квалификация, ни особые познания.
Сообщения о новых уязвимостях на сайте Mossack Fonseca появляются почти каждый день. Очередную дыру обнаружил анонимный хакер по кличке 1x0123. Платежная система Orion House, которую использует Mossack Fonseca, оказалась уязвима для внедрения кода SQL.
https://twitter.com/1x0123/status/718760771887489024
Ранее выяснилось, что на серверах фирмы установлен Microsoft Outlook Web Access, который не обновлялся с 2009 года, устаревшая версия системы управления контентом Drupal, содержащая по меньшей мере 25 уязвимостей, а также WordPress 4.1 с уязвимым плагином Revolution Slider. Одна из уязвимостей Drupal и уязвимость в Revolution Slider позволяют исполнять на сервере произвольные команды.
Вот правдоподобная версия того, как происходил взлом. При помощи дыры в Revolution Slider хакер получил доступ к настройкам WordPress, хранящимся в файле wp-config.php. Среди прочего, wp-config.php содержит пароль и логин от базы данных. Используя их, злоумышленник подключился к базе данных и нашёл в настройках плагина ALO EasyMail Newsletter пароль и логин почтового сервера компании. Это дало ему возможность скачать по IMAP или POP электронные письма, которые образуют значительную часть «панамских архивов». Прочие файлы он добыл при помощи уязвимости в Drupal.