Tres ataques a esta web desde el extranjero ¿Son competentes los Juzgados españoles?

Dice Alexander Kochkov [@alexkochkov], y traduzco libremente, «si alguna vez te sientes solo, lee los logs de tu cortafuegos«. Como la vida misma.

En los dos o tres meses que este blog lleva abierto, he recibido varios intentos de intrusión prácticamente imperceptibles – imperceptibles porque han quedado en intentos – y me gustaría hoy comentar los tres que más me han gustado, si bien son antiguos -a excepción del de GDPR COMPLIANCE- para que sepáis identificarlos si veis alguna petición similar en los logs de vuestro sitio.

Privilege escalation en el plugin GDPR Compliance.

Si te preocupaste de instalar un plugin como GDPR COMPLIACE en tu sitio web, dejaste abierto un interesante agujero de seguridad muy aprovechado por spammers. Consiste en utilizar el admin-ajax.php vulnerable para habilitar el registro de usuarios [users_can_register=1], se crea posteriormente un usuario, y luego se le dan privilegios de administrador. Esto ocurre desde octubre-noviembre 2018, pero fueron rápidos en crear un parche. Recibí este ataque una semana después de actualizar el plugin, afortunadamente.

/wp-admin/admin-ajax.php?action= …..
/wp-admin/admin-ajax.php?action=mk_file_fo(…)pen …

SQL injection

En 2017 se encontró que es posible realizar una inyección SQL en el feed RSS de los sitios WordPress. Era posible ampliar la query introduciendo condiciones maliciosas en la petición GET para que por ej. se vuelque la tabla entera de la base de datos del sitio.

Este individuo/bot pasó once minutos intentándolo, sin éxito, probando además en páginas y posts. Otras webs no correrán la misma suerte que ésta.

Nota curiosa: para evitar los fitros sobre XSS, suelen cambiarse los símbolos como las comillas o los apóstrofes por su equivalente por ej. en Unicode. Aquí tienes otras cientos de formas de ocultar un XSS.

17:24:34 → /
17:24:41 → /?feed=rss2'+and+1=2+--
17:24:46 → /?feed=rss2'+and+1=1+--
17:25:42 → /?feed=rss2+and+1=2--
17:25:50 → /?feed=rss2+and+1=1--
17:28:06 → /?feed=rss2
17:32:06 → /?page_id=164'+and+1=2+--
17:32:13 → /?page_id=164'+and+1=1+--
17:32:18 → /?page_id=164'+and+2=2+--
17:32:22 → /?page_id=164'+and+2=3+--
17:32:27 → /?page_id=164+and+1=2--
17:32:32 → /?page_id=164+and+1=1--
17:32:37 → /?page_id=164+and+2=2--
17:32:43 → /?page_id=164+and+2=3--
17:32:48 → /?page_id=164
17:32:55 → [404] /?cat=6'+and+1=2+--
17:33:00 → [404] /?cat=6'+and+1=1+--
17:33:58 → [404] /?cat=6+and+1=2--
17:34:05 → [404] /?cat=6+and+1=1--
17:35:21 → /?cat=6

Local file inclusion del wp-config.php con Revolution Slider

Al parecer una petición mediante admin-ajax.php a Revolution Slider permite usando directorio transversal acceder al archivo wp-config.php. El fallo data de 2014, pero todavía hay sitios sin actualizar que son vulnerables. Este tipo lo intentó conmigo con la siguiente petición:

/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

A little bit of law ¿Dónde se han cometido estos delitos/tentativas de delitos?

Pongámos en situación por un momento. Según las IP que registro, corresponden a servidores alojados en EEUU, Canadá o China.

Le puede interesar también:   Lumen puede ser el nuevo Plusdede

Me han intentado hackear la web, y lo pongo en conocimiento de la Policía. Se hace atestado, se practican diligencias y se identifican que las direcciones IP de origen pertenecen a EEUU ¿Se inhibe el Juzgado a favor de tribunales estadounidenses?

Voy a obviar hablar de los proxys. Pensemos que realmente los atacantes están en EEUU. Habría que ver de cerca el Convenio de Cibercrimen, pero en principio yo entiendo que no debe inhibirse.

En primer lugar, no nos podemos olvidar en la elección del fuero el locus delicti comissi: sería más que defendible que el delito se ha cometido en territorio patrio, pues además de estar hospedada la web en España, el daño se pretendía hacer a una web española. La cuestión es que existen puntos de conexión con la jurisdicción española.

Entiendo que los Juzgados españoles tendrían jurisdicción conforme al principio de ubicuidad, entendiéndose que cualquier lugar donde se haya cometido el delito es competente, teniendo lugar la investigación frente al primer juzgado que tenga conocimiento del asunto. Si quieres saber más, nuestro Tribunal Supremo mediante Pleno no Jurisdiccional de 3 de febrero de 2005 estableció que esto es así, y lo han confirmado posteriormente toda una suerte de autos, como por ej. 4/11/2005, 11/1/2008 y 6/7/2017.

O al menos, yo defendería esto.

¡Salud!




Copyright, 2019. José Carlos Rueda, abogado.

Realizamos un análisis preliminar de tu caso completamente gratis.

Si este artículo te ha servido, escribe una reseña positiva y tendrás un 10% de descuento en cualquier servicio.

Deja un comentario