Superintendência Estadual de Tecnologia da Informação e Comunicação
Plataforma de documentação operacional e gerencial da SETIC
Ferramentas do usuário
gprob_0003: Web Defacement de sites Wordpress
| Problema | Tipo | Origem | Equipe responsável | Dono do processo |
|---|---|---|---|---|
| 0003 | Reativo | Reparo | Gerência de Infraestrutura e Gerência de Desenvolvimento | Gabriel Carrijo |
| Alvos | Observações | |||
| alvos do problema | observações gerais sobre a problemática ou solução | |||
1 - Descrição do problema
Web Defacement (Desfiguração de Site) ocorrido no dia 25/06/2019 entre às 17:50h e 18:20h nos seguintes sites: http://agromais.ro.gov.br, http://alunodigital.epr.ro.gov.br, http://boasideias.ro.gov.br, http://contabilidade.ro.gov.br, http://cursos.idep.ro.gov.br, http://diof.ro.gov.br, http://escoladegoverno.ro.gov.br, http://eventos.sistemas.ro.gov.br, http://fapero.ro.gov.br, http://fornecedores.supel.ro.gov.br/assets/index.php, http://gestaodoconhecimento.ro.gov.br, http://idep.ro.gov.br, http://infovia.ro.gov.br, http://intranet.ro.gov.br, http://intranet.seae.ro.gov.br, http://iperon.ro.gov.br, http://joer.sistemas.ro.gov.br, http://jucer.ro.gov.br, http://rincaocultural.ro.gov.br, http://rondoniaruralshow.ro.gov.br, http://servicos.ro.gov.br, http://www.sistemas.ro.gov.br, http://transparencia.deosp.ro.gov.br, http://tudoaqui.ro.gov.br.
Esse incidente ocorreu à partir da exploração do plugin hello_dolly (padrão do Wordpress) instalado no site http://sistemas.ro.gov.br e à partir dele, houve o upload do script Wordpress MassDeface (disponível em: https://gist.github.com/B0RU70/315c9df0c744daba57f39a3b701d9847) onde foi possível alterar os arquivos index.php das páginas supracitadas.
2 - Identificação da origem do problema
À partir da análise dos arquivos injetados, dos Log’s do servidor de aplicação e proxy reverso, foi possível identificar a técnica utilizada no ataque.
3 - Gravidade Impacto Tendência
As secretarias e órgãos donos das URL’s citadas acima, hospedadas no servidor groot, foram afetados com a indisponibilidade dos seus sistemas durante a noite do dia 25/06/2019.
O impacto desse incidente seria apenas o dano à imagem do Governo do Estado. Nenhum arquivo foi perdido e nenhuma informação sigilosa foi roubada.
Caso o problema não seja solucionado, estaremos sujeitos à novas intrusões com a exploração da mesma falha.
4 - Incidentes relacionados
| Ordem | Categoria | Descrição | Horário | Origem |
|---|---|---|---|---|
| 1 | Enumeração | Descoberta do plugin hello_dolly | 16:45:41 | 187.82.68.224 |
| 2 | Defacement | Alteração do primeiro index, na página voip.ro.gov.br | 16:48:29 | 187.82.68.224 |
| 3 | Injeção | Inserção do script css.php | 16:49:53 | 187.82.68.224 |
| 4 | Defacement | Alteração do primeiro index, à partir do script css.php, na página agenda.ro.gov.br | 16:53:04 | 187.82.68.224 |
| 5 | Defacement | Alteração do último index, à partir do script css.php, na página voip.ro.gov.br | 18:20:18 | 187.82.68.224 |
5 - Solução de contorno
5.1 - Remoção do plugin hello_dolly do site sistemas.ro.gov.br;
5.2 - Atualização de todos os sites Wordpress.
5.3 - Implementação dos sites em container’s Docker, com o objetivo de segmentar os sites, muito embora, sem as duas soluções anteriores, essa seria apenas a segmentação do problema.
6 - Procedimentos
6.1 – Restauração do Snapshot da Máquina Virtual antes do ataque.
6.2 – Limpeza dos arquivos infectados e dos plugins vulnráveis.
7 - Proposta de solução definitiva
Para a solução definitiva deste problema, seguem as sugestões abaixo:
7.1 – Aquisição de um Firewall de Aplicação Web (WAF), para que ataques como esse sejam efetivamente filtrados (incluído no processo de aquisição de Segurança, aguardando recurso financeiro);
7.2 – Criação de um CMS próprio, evitando que vulnerabilidades públicas em portais feitos com software livre não nos afetem mais.
Ferramentas da página
