====== gprob_0003: Web Defacement de sites Wordpress ======

~~NOTOC~~

^Problema ^Tipo ^Origem ^Equipe responsável ^Dono do processo |
|0003 |Reativo |Reparo |Gerência de Infraestrutura e Gerência de Desenvolvimento |Gabriel Carrijo |
^Alvos ^^Observações ^^^
|alvos do problema ||observações gerais sobre a problemática ou solução |||

----

===== 1 - Descrição do problema =====

----

Web Defacement (Desfiguração de Site) ocorrido no dia 25/06/2019 entre às 17:50h e 18:20h nos seguintes sites: [[http://agromais.ro.gov.br|http://agromais.ro.gov.br]], [[http://alunodigital.epr.ro.gov.br|http://alunodigital.epr.ro.gov.br]], [[http://boasideias.ro.gov.br|http://boasideias.ro.gov.br]], [[http://contabilidade.ro.gov.br|http://contabilidade.ro.gov.br]], [[http://cursos.idep.ro.gov.br|http://cursos.idep.ro.gov.br]], [[http://diof.ro.gov.br|http://diof.ro.gov.br]], [[http://escoladegoverno.ro.gov.br|http://escoladegoverno.ro.gov.br]], [[http://eventos.sistemas.ro.gov.br|http://eventos.sistemas.ro.gov.br]], [[http://fapero.ro.gov.br|http://fapero.ro.gov.br]], [[http://fornecedores.supel.ro.gov.br/assets/index.php|http://fornecedores.supel.ro.gov.br/assets/index.php]], [[http://gestaodoconhecimento.ro.gov.br|http://gestaodoconhecimento.ro.gov.br]], [[http://idep.ro.gov.br|http://idep.ro.gov.br]], [[http://infovia.ro.gov.br|http://infovia.ro.gov.br]], [[http://intranet.ro.gov.br|http://intranet.ro.gov.br]], [[http://intranet.seae.ro.gov.br|http://intranet.seae.ro.gov.br]], [[http://iperon.ro.gov.br|http://iperon.ro.gov.br]], [[http://joer.sistemas.ro.gov.br|http://joer.sistemas.ro.gov.br]], [[http://jucer.ro.gov.br|http://jucer.ro.gov.br]], [[http://rincaocultural.ro.gov.br|http://rincaocultural.ro.gov.br]], [[http://rondoniaruralshow.ro.gov.br|http://rondoniaruralshow.ro.gov.br]], [[http://servicos.ro.gov.br|http://servicos.ro.gov.br]], [[http://www.sistemas.ro.gov.br|http://www.sistemas.ro.gov.br]], [[http://transparencia.deosp.ro.gov.br|http://transparencia.deosp.ro.gov.br]], [[http://tudoaqui.ro.gov.br|http://tudoaqui.ro.gov.br]].

Esse incidente ocorreu à partir da exploração do plugin hello_dolly (padrão do Wordpress) instalado no site [[http://sistemas.ro.gov.br|http://sistemas.ro.gov.br]] e à partir dele, houve o upload do **<font inherit/inherit;;#2980b9;;inherit>script Wordpress MassDeface</font>**  (disponível em: [[https://gist.github.com/B0RU70/315c9df0c744daba57f39a3b701d9847|https://gist.github.com/B0RU70/315c9df0c744daba57f39a3b701d9847]]) onde foi possível alterar os arquivos index.php das páginas supracitadas.

===== 2 - Identificação da origem do problema =====

----

À partir da análise dos arquivos injetados, dos Log’s do servidor de aplicação e proxy reverso, foi possível identificar a técnica utilizada no ataque.

===== 3 - Gravidade Impacto Tendência =====

----

As secretarias e órgãos donos das URL’s citadas acima, hospedadas no servidor groot, foram afetados com a indisponibilidade dos seus sistemas durante a noite do dia 25/06/2019.\\
O impacto desse incidente seria apenas o dano à imagem do Governo do Estado. <font inherit/inherit;;#2980b9;;inherit>Nenhum arquivo foi perdido e nenhuma informação sigilosa foi roubada</font>.\\
Caso o problema não seja solucionado, estaremos sujeitos à novas intrusões com a exploração da mesma falha.

===== 4 - Incidentes relacionados =====

----
^  Ordem  ^  Categoria   ^  Descrição                                                                            ^  Horário   ^  Origem         ^
|  1      |  Enumeração  |  Descoberta do plugin hello_dolly                                                     |  16:45:41  |  187.82.68.224  |
|  2      |  Defacement  |  Alteração do primeiro index, na página voip.ro.gov.br                                |  16:48:29  |  187.82.68.224  |
|  3      |  Injeção     |  Inserção do script css.php                                                           |  16:49:53  |  187.82.68.224  |
|  4      |  Defacement  |  Alteração do primeiro index, à partir do script css.php, na página agenda.ro.gov.br  |  16:53:04  |  187.82.68.224  |
|  5      |  Defacement  |  Alteração do último index, à partir do script css.php, na página voip.ro.gov.br      |  18:20:18  |  187.82.68.224  |
===== 5 - Solução de contorno =====

----

5.1 - Remoção do plugin hello_dolly do site sistemas.ro.gov.br;

5.2 - Atualização de todos os sites Wordpress.

5.3 - Implementação dos sites em container’s Docker, com o objetivo de segmentar os sites, muito embora, sem as duas soluções anteriores, essa seria apenas a segmentação do problema.

===== 6 - Procedimentos =====

----

6.1 – Restauração do Snapshot da Máquina Virtual antes do ataque.\\
6.2 – Limpeza dos arquivos infectados e dos plugins vulnráveis.

===== 7 - Proposta de solução definitiva =====

----

Para a solução definitiva deste problema, seguem as sugestões abaixo:

\\
7.1 – Aquisição de um **<font inherit/inherit;;#2980b9;;inherit>Firewall de Aplicação Web (WAF)</font>**, para que ataques como esse sejam efetivamente filtrados (incluído no processo de aquisição de Segurança, aguardando recurso financeiro);

\\
7.2 – Criação de um CMS próprio, evitando que vulnerabilidades públicas em portais feitos com software livre não nos afetem mais.

\\