CyberACTUS Avril XVI

#2016/04 – PANAMA PAPERS & co

Avril, douce saison où le printemps se réveille avec le fiasco d’une fuite d’informations d’un cabinet d’avocat du PANAMA bousculant un écosystème mondial, l’évasion fiscale.

HACKER_00.jpeg

 

Cette douloureuse histoire souligne la réelle nécessité de protéger son système d’information  et rappelons que la fuite provient majoritairement de l’interne et parfois de l’externe. Volume des pertes dans cette mésaventure : 2,6 Téraoctets de données contenant 11,5 millions de documents.

Focalisons sur la fuite externe.

Débutons par une cartographie des liaisons internet pour disposer d’une vue d’ensemble de l’architecture.

PANAMAGATE3.png

Avec une hypothèse d’une liaison à 100 Méga b/s soit 12,5 Mégaoctet/s, il faut compter pour un volume 2,6 Téraoctets, 2 jours 1/2 de téléchargement en saturant le réseau. Cette méthode est très rapidement repérable.

Pour passer en dessous du radar un débit d’un Méga b/s est souhaitable mais accroît considérablement le temps de maintien de la liaison avec une estimation 242 jours non stop de téléchargement.

Une analyse des informations sur le site présente des points intéressants.

http://www.mossfon.com // Hostname: www.mossfon.com // IP address: 192.230.92.15

System Details: Linux – Apache/2.2.15 Oracle
Web application details:
Application: WordPress – http://www.wordpress.org

Web application version:
Wordpress version from source: 4.2.6
Wordpress Version 4.1 based on: http://www.mossfon.com/wp-includes/js/autosave.js
WordPress theme: http://www.mossfon.com/wp-content/themes/twentyten/

A ce stade, des mises à jours de composants sont à appliquer pour pallier à quelques vulnérabilités afin de réduire la symphonie des attaques DOS, XSS, Overflow, accroissement de privilège, etc …  .

En complément, nous avons des erreurs de configuration basique permettant l’accès à un Directory Listing du serveur (1) .

Le fameux fichier robot nous renseigne sur les répertoires à ne pas scruter :

/wp-admin/ && /downloads/

Un passage par VirusTotal pour rechercher les sous domaines et nous comptons une dizaine, allant de portail client à un blog, avec un florilège de négligence du SI :

 survey.mossfon.com ‘ Hostname: survey.mossfon.comIP address: 200.46.144.230
System Details: Running on: Microsoft-IIS/7.5  Powered by: ASP.NET
On subodore que le cabinet a pris soins de respecter les bonnes pratiques de Microsoft (2)
– Configurez IIS 7 pour filtrer les demandes HTTP;
– Utilisez IIS 7 pour configurer des règles d’autorisation;
– Créez une liaison HTTPS pour le site qui hébergera les données chiffrées;
– etc …
portal.mossfon.com  ‘ Hostname: portal.mossfon.comIP address: 107.154.102.58
System Details:  Running on: Apache/2.2.15 – Powered by: PHP/5.3.3
Web application details:  Drupal 7 (http://drupal.org)’
Le site est hautement sécurisé avec une redirection https, le  S pour Secure et une version Drupal dont les préconisations de sécurité et d’administration sont scrupuleusement appliquées (3).  Malencontreusement, Jackpot à ce niveau  pour la version 7.0 pour une fuite de donnée avec des failles hautement critiques (SA-CORE-2014-005 – Drupal core – SQL injection) .
PANAMAGATE2.png

Le service  application.mossfon.com via un retour dans le passé 2013 (wayback machine), nous présente un serveur Oracle Application Server 10g. Il est a supposer que la politique des mots de passe sur ce type d’application est intransigeante et que ces derniers sont conservés avec un  hash, un sel en supplément et une protection contre le brute force.

 

Au vu des documents récoltés (6), Il faut penser que l’intrusion aurait été conduite sur plusieurs niveaux ( WordPress, Drupal, Oracle, Messagerie, ..).

 

PANAMAGATE1.png

Via une recherche SEO, nous identifions que les butineurs du café du PANAMA pour ce cabinet d’avocat proviendraient des contrées US, Inde, UK, Allemagne et Espagne.
En finalité, lorsqu’on manipule des informations hautement sensibles, la négligence engendre des conséquences graves sur l’entreprise avec une perte de confiance mondiale pour ce cabinet. Ce dernier vient de mettre en ligne un site pour traiter cette crise ( http://mossfonmedia.com/ )

Notre conseil est de toujours adapter votre niveau de sécurité de son système d’information à la sensibilité de vos informations et aux risques qu’encours votre entreprise.

 

(0) https://wpvulndb.com/wordpresses/426 // http://www.cvedetails.com/vulnerability-list.php?

(1) https://reflets.info/panamapapers-how-shit-happens/

(2) https://technet.microsoft.com/fr-fr/library/cc754184.aspx.

(3) https://www.drupal.org/documentation/administer // https://www.drupal.org/security

(4) http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/securite-panama-papers-securite-negligee-t-elle-favorise-fuite-62326/

(5) http://www.lemagit.fr/actualites/450280791/Panama-Papers-luvre-dun-pirate-externe

(6) http://panamapapers.sueddeutsche.de/articles/56febff0a1bb8d3c3495adf4/

 

7FORTRESS_LOGOv5-SD

Publicités