Hackers vulneraron la ONU y accedieron a 100,000 registros privados

Investigadores de seguridad informaron a la ONU de una vulnerabilidad que expuso las credenciales de GitHub. Lo hicieron a través del programa de divulgación de vulnerabilidades de la organización.

Los investigadores de seguridad hackearon con éxito las Naciones Unidas, accediendo a credenciales de usuario e información de identificación personal (PII). La información incluía más de 100,000 registros de proyectos y empleados privados. Esto antes de informar a la ONU sobre el problema a través del programa de divulgación de vulnerabilidades de la organización.

En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.

Conoce cualquier contraseña que haya sido filtrada con el Buscador de Leaks

Los hackers éticos del grupo de investigación Sakura Samurai utilizaron una vulnerabilidad en un directorio de GitHub. La vulnerabilidad expuso las credenciales de WordPress DB y GitHub. Esto les permitió el acceso a numerosos registros privados del Programa de Medio Ambiente de la ONU (PNUMA).

Los investigadores Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle descubrieron la vulnerabilidad. Descubrieron la vulnerabilidad después de que el equipo decidió intentar encontrar una entrada para el Programa de Divulgación de Vulnerabilidades y el Salón de la Fama de la ONU. Y, finalmente, identificaron un punto final que expuso las credenciales, escribieron los investigadores en una publicación en su blog.

Credenciales expuestas

“Las credenciales nos dieron la capacidad de descargar los repositorios de Git, identificando miles de credenciales de usuario y PII”, escribieron. “En total, identificamos más de 100,000 registros de empleados privados. También descubrimos varios directorios .git expuestos en servidores web propiedad de la ONU [ilo.org], el contenido .git podría luego exfiltrarse con varias herramientas como ‘git-dumper'”.

Los investigadores pudieron acceder a una cantidad significativa de información confidencial de la ONU en su violación. Esto incluía 102,000 registros de viajes; más de 7,000 registros de demografía de nacionalidad de recursos humanos. También más de 1,000 registros de empleados generalizados. Asimismo, más de 4,000 registros de proyectos y fuentes de financiación; e informes de evaluación de 283 proyectos.

Los datos revelados en los registros incluían los nombres, números de identificación, nacionalidades, géneros, grados salariales. Y, una gran cantidad de otra información personal relacionada con los empleados de la ONU. También números de identificación, ubicaciones y montos de financiamiento para varios proyectos del PNUMA, así como fuentes de financiamiento y otros detalles específicos.

Además de acceder a los registros a través de la vulnerabilidad relacionada con Git, los investigadores lograron hacer otras acciones.  “En el lado de menor gravedad” tomaron el control de una base de datos SQL. También accedieron a un programa de gestión de encuestas que pertenece a la Organización Internacional del Trabajo (OIT). Sin embargo, las vulnerabilidades “eran de poca importancia” y la base de datos y la plataforma estaban “bastante abandonadas por naturaleza”, escribieron.

“No obstante, una toma de control de una base de datos. Y, una toma de control de una cuenta de administrador en una plataforma siguen siendo vulnerabilidades críticas”.

Base de datos

El acceso a la base de datos SQL también fue importante, ya que fue una puerta de entrada al descubrimiento de las credenciales de GitHub. También ayudó al eventual tesoro de registros, explicaron los investigadores en su publicación. Inicialmente, comenzaron su exploración realizando una enumeración de subdominios de todos los dominios en el alcance del programa de divulgación de la ONU, dijeron.

“Durante nuestra investigación, comenzamos a confundir múltiples puntos finales con herramientas e inicialmente descubrimos que un subdominio de ilo.org tenía un contenido .git expuesto”, escribieron. “Utilizando git-dumper [https[://]github[.]com/arthaud/git-dumper] pudimos recuperar las carpetas del proyecto alojadas en la aplicación web, esto resultó en la adquisición de una base de datos MySQL. También tomamos el control de una plataforma de gestión de encuestas debido a las credenciales expuestas dentro del código”.

Después de que los investigadores asumieron el control de la base de datos MySQL de la OIT realizaron otras acciones importantes. Posteriormente tomaron el control de la cuenta en la plataforma de administración de encuestas y comenzaron a enumerar otros dominios/subdominios, dijeron.

“Finalmente, encontramos un subdominio en el Programa de las Naciones Unidas para el Medio Ambiente [sic]. Esto nos permitió descubrir las credenciales de GitHub después de un poco de confusión”, escribieron los investigadores.

En última instancia, una vez que descubrieron las credenciales de GitHub, los investigadores pudieron descargar una gran cantidad de proyectos privados de GitHub. Los proyectos estaban protegidos con contraseña. Los investigadores lograron encontrar dentro de ellos múltiples conjuntos de credenciales de bases de datos y aplicaciones para el entorno de producción del PNUMA.

“En total, encontramos siete pares de credenciales adicionales que podrían haber resultado en un acceso no autorizado a múltiples bases de datos”, escribieron los investigadores. En ese momento, decidieron detener su trabajo y reportar la vulnerabilidad.

Incidentes anteriores

La ONU no es ajena a la intrusión de los hackers, y no solo a los éticos. En julio pasado, los hackers vulneraron la ONU al explotar una vulnerabilidad de Microsoft SharePoint en una aparente operación de espionaje. La vulnerabilidad supuestamente les dio a los atacantes acceso a aproximadamente 400 GB de datos confidenciales. El incidente no se reveló hasta unos seis meses después.

Luego, hace casi un año a la fecha de la divulgación de Sakura Samurai, los operadores detrás del malware Emotet atacaron al personal de la ONU. El ataque estaba destinado a enviar el troyano TrickBot.

Deja un comentario