Scandalo Panama Papers, WordPress e Drupal non aggiornati possibili cause dell'hack

Panama Papers è al momento in cui scriviamo la più grande perdita di dati mai vista dall'umanità, e rimarrà certamente nella storia. Ad oggi supera tutti gli altri leak con margini spaventosi: parliamo di 2,6 terabyte di file che contengono 11,5 milioni di documenti con oltre 200 mila società fittizie coinvolte. Il tutto, pare, per la noncuranza di Mossack Fonseca, la società panamense che proteggeva le finanze dei potenti e che si è fatta sfuggire gli importanti file.

Fonte: WordFence

Negli scorsi giorni si è parlato dei potenziali errori condotti dalla Mossack Fonseca, fra cui l'uso di versioni desuete di Microsoft Outlook Web Access con email non protette da crittografia o di versioni obsolete dei software open-source utilizzati come struttura dei siti della società. Si è parlato, lo ha fatto Forbes nello specifico, di versioni non aggiornate da mesi o addirittura anni di WordPress e Drupal con buchi nella sicurezza che avrebbero potuto garantire l'accesso ai file da remoto.

In questa pagina leggiamo che il sito della società panamense viene eseguito su WordPress 4.1. Dalla data del rilascio di quest'ultima versione, dicembre 2014, il team di sviluppo ha reso disponibili numerosi aggiornamenti di sicurezza. Nel sito vengono caricati anche molti script e plug-in obsoleti come ad esempio Twenty Eleven in una versione rilasciata tre anni fa. L'installazione di Drupal alla base del sito, la 7.23, non viene aggiornata inoltre da tre anni.

Da allora sono stati rilasciati 25 aggiornamenti di sicurezza, molti dei quali con correzioni di vulnerabilità altamente critiche. Fra queste una vulnerabilità corretta nel 2014 su SQL Injection che veniva definita, per la sua gravità, Drupalgeddon. Gli investigatori non hanno accertato l'uso di questi strumenti da parte degli hacker che hanno rubato le informazioni, tuttavia si tratta di una forte possibilità in considerazione della gravità delle vulnerabilità presenti.

Una nuova analisi viene effettuata dal sito WordFence, che scrive che uno dei plug-in di WordPress utilizzati dalla società è stato fattivamente utilizzato negli attacchi condotti dagli hacker: "Il sito della Mossack Fonseca viene eseguito su WordPress e attualmente esegue una versione di Revolution Slider vulnerabile agli attacchi esterni, e garantisce ad un attaccante l'accesso al server web da remoto". La versione del plug-in installata sul sito Mossack Fonseca è la 2.1.7.

La fonte specifica che fino alla versione 3.0.95 tutte le release precedenti sono vulnerabili ad attacchi condotti da aggressori esterni. Pare inoltre che la società abbia configurato un firewall a protezione della specifica vulnerabilità solo lo scorso mese, e che l'IP del sito web fosse configurato sulla stessa rete dei server mail, probabile responsabile principale del leak. Insomma, il sito che contiene fra i più torbidi segreti degli uomini più potenti sulla Terra ha una manutenzione pressoché nulla.

Ad oggi si sostiene che il leak sia stato il frutto di un hack via internet, laddove inizialmente si era pensato, soprattutto per la sua mole, che fosse stata opera di un dipendente interno della società.