Plataforma da Direcção Geral do Ensino Superior comprometida

cet_dges_mctes

O defacer indonésio d3b~X –  – continua a fazer das suas em Portugal. Desta vez comprometeu a Plataforma do DGES [Direção Geral do Ensino Superior] – http://www.cet.dges.mctes.pt
Tal como em casos anteriores, o defacer colocou uma imagem gif na raiz do domínio.

http://www.cet.dges.mctes.pt/nyet.gif [Ainda online na altura da publicação deste artigo]

O mirror deste ataque informático já foi indexado pelo Zone-H .

De referir que este site está alojado na FCCN e segundo os dados do site Netcraft, corre o servidor web da Microsoft IIS 6.0.
Apenas verificando o código fonte é também possível verificar que o site foi implementado com o Microsoft Visual Studio .NET.

Sendo uma plataforma privada, apenas acedida via password, fica por saber se o defacer obteve informação confidencial.

Investiguei um pouco mais, baseando-me em alguns registos de sites comprometidos, e reparei que o d3b~X tem um modus operandis muito habitual. Pesquisa por servidores mal configurados que aceitam o método PUT sem qualquer tipo de proteção. Ou seja, a ferramenta deste defacer pesquisa por servidores vulneráveis e faz o seguinte pedido:

PUT /nyet.gif HTTP/1.1″ 200 473 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”

Se retornar o código HTTP 200, ele faz um novo pedido, mas neste caso GET que é para validar se conseguiu ou não enviar a imagem GIF. Em caso de sucesso, envia provavelmente automaticamente o deface para o Zone-H.

GET /nyet.gif HTTP/1.1″ 200 2357 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Caso o pedido PUT dê erro HTTP 404, um scan automático é utilizado para procurar outras vulnerabilidades, na maior parte, plugins vulneráveis do CMS Joomla!.

Atualização:
No mês de janeiro, ainda não terminado, o PUT /nyet.gif apareceu nos logs de um site Joomla! de um cliente cerca de 41 vezes com 38 endereços de IP diferentes [máquinas comprometidas ou proxies].
A última entrada, dia 29 de janeiro, é possível verificar que a ferramenta automática tenta encontrar vulnerabilidades conhecidas no Joomla! [exemplo: com_jce] e só depois é que tenta verificar se é possível usar o método PUT.

87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
&action=upload HTTP/1.1” 200 22 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_media&view=images&tmpl=component&e_name=jform_articletext&
asset=com_content&author= HTTP/1.1” 404 – “-” “curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /images/jdownloads/screenshots/nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “PUT /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “GET /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “GET /oipm//index.php HTTP/1.1” 404 1437 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “PUT /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:25 +0000] “GET /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Um ponto curioso, é que posteriormente a estes varrimentos nos sites, muitos outros utilizadores maliciosos poderão utilizar a mesma falha para proveito próprio e ter acesso a informação confidencial. É bastante comum haver este tipo de atividade.

Desconheço se foi este o método utilizado para atacar este site governamental mas quem sabe…

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    3 Comentários em "Plataforma da Direcção Geral do Ensino Superior comprometida"

    1. Ricardo diz:

      Há centenas ou até milhares de bots a correr pela net que tentam criar ou obter ficheiros com o nome nyet.gif. Muitos terão origem noutros servidores violados.
      Não é possível, por aí, concluir que se tratam todos do mesmo atacante ou até do mesmo tipo de ataque.
      Quanto ao país, do meu ponto de vista, também será difícil tirar conclusões.

    2. Obrigado Ricardo pelo teu feedback.

    3. Norberto Vale diz:

      Parabéns por este site, o qual desconhecia. Gostaria apenas de sugerir mais artigos relacionados com software de segurança (antí-virus, firewall, encriptação, etc). Uma opinião independente é sempre de valor. E mais uma vez parabéns pelo excelente trabalho.

    Que tal participar com o seu comentário?