PNUMA

PNUMA 2021: “cazadores”, descubren brecha de seguridad

PNUMA descubren brecha de seguridad

El Programa de las Naciones Unidas para el Medio Ambiente PNUMA  tuvo una brecha que expuso a más de 100.000 registros de empleados.

Sakura Samurai el afamado grupo de investigación, se anotició que PNUMA y las Naciones Unidas tenían un Programa de divulgación de vulnerabilidades y un Salón de la fama.

Por est razón Sakura Samurai, se propuso buscar vulnerabilidades para informar a las Naciones Unidas y las encontraron en PNUMA.

Durante el proceso de investigación, Jackson Henry @JacksonHHax, Nick Sahler, John Jackson @johnjhacking y Aubrey Cottle @Kirtaner identificaron un punto final que expuso las Credenciales de Git.

Las credenciales nos dieron la capacidad de descargar los repositorios de Git, identificando un montón de credenciales de usuario y PII.

En total, identificaron estos muchachos “picantes” más de 100.000 registros de empleados privados. También descubrimos varios directorios .git expuestos en servidores web propiedad de la ONU [ilo.org], el contenido .git podría luego exfiltrarse con varias herramientas como “git-dumper”.

Información relevante para tomadores de decisiones de negocios

PII expuesta

Registros de viaje [Dos documentos: más de 102,000 registros]

PNUMA expuso registros de sus empleados

Los registros de viaje incluían números de identificación de empleados, nombres, grupos de empleados, justificación del viaje, fechas de inicio y finalización, duración de la estadía, estado de aprobación, destino y duración de la estadía.

Demografía de nacionalidad de RR.HH. [Dos documentos: más de 7.000 registros]

Demografía de los documentos expuestos por PNUMA

Incluye el nombre del empleado, el grupo de empleados, los números de identificación del empleado, la nacionalidad de la persona, el sexo de la persona, el grado de pago del empleado, el número de identificación de la unidad de trabajo de la organización y las etiquetas de texto de la unidad de la organización.

Registros de empleados generalizados [Un documento: más de 1000 registros]


Números de índice, nombres de empleados, correos electrónicos de empleados, subáreas de trabajo de empleados y unidades organizativas de empleados.

Nota: La columna con el “Número 1” representa el departamento de trabajo específico del Empleado y estaba borrosa porque algunas de las subunidades son más pequeñas.

Registros de proyectos y fuentes de financiación [Un documento: más de 4000 registros]

PNUMA también expone sus registros financieros

Incluyó el número de identificación del proyecto, las áreas afectadas, los montos de la subvención y el cofinanciamiento, las agencias ejecutoras, los países, las fuentes de financiamiento, el período del proyecto y si el proyecto / concepto fue aprobado.

Informes de evaluación [Un documento: 283 proyectos]


Descripciones generales de las Evaluaciones e Informes, Períodos Realizados y un enlace al informe del proyecto.

Evaluación técnica

Además, en el lado menor de la gravedad, logramos tomar el control de una base de datos SQL y una plataforma de gestión de encuestas pertenecientes a la Organización Internacional del Trabajo, también en el alcance del programa VDP de la ONU.

Sin embargo, cabe señalar que las vulnerabilidades de la OIT tenían poca importancia, ya que la plataforma de gestión de bases de datos y encuestas estaba bastante abandonada por naturaleza y apenas contenía nada útil.

No obstante, una toma de control de una base de datos y una toma de control de una cuenta de administrador en una plataforma siguen siendo vulnerabilidades críticas.

Habíamos realizado una enumeración de subdominios de todos los dominios dentro del alcance del VDP ofrecido por la ONU.

Durante nuestra investigación, comenzamos a confundir múltiples puntos finales con herramientas e inicialmente descubrimos que un subdominio de ilo.org tenía un contenido .git expuesto. Utilizando git-dumper [ https://github.com/arthaud/git-dumper ] pudieron volcar las carpetas del proyecto alojadas en la aplicación web, lo que resultó en la toma de control de una base de datos MySQL y de una plataforma de gestión de encuestas debido a las credenciales expuestas dentro del código.

Credenciales MySQL


Nota: 
No proporcionaron una imagen de la plataforma de la encuesta debido a la naturaleza específica de la aplicación.


Después de tomar el control de una de las bases de datos MySQL de la Organización Internacional del Trabajo y realizar la toma de control de la cuenta en la plataforma de gestión de encuestas, comenzamos a enumerar otros dominios / subdominios.

Finalmente, encontraron un subdominio en el Programa de las Naciones Unidas para el Medio Ambiente que les permitió descubrir las credenciales de github después de un poco de confusión.


En última instancia, una vez que descubrieron las credenciales de GitHub, pudieron descargar muchos proyectos privados de GitHub protegidos con contraseña y, dentro de los proyectos, encontraron varios conjuntos de credenciales de bases de datos y aplicaciones para el entorno de producción del PNUMA.

En total, encontraron 7 pares de credenciales adicionales que podrían haber resultado en acceso no autorizado a múltiples bases de datos.

Decidieron detener la investigación e informar sobre esta vulnerabilidad una vez que pudieron acceder a la PII que estaba expuesta a través de las copias de seguridad de la base de datos que estaban en los proyectos privados.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

Lea más

JetBrains 2021: “Yo NO fui” el del ataque de SolarWinds

TheHive nueva versión, “favorito del editor 2021”

2020 la ciberseguridad en cifras

Cifrado homomórfico: IBM presenta tecnología 2020

FireEye: hack de SolarWinds y el ataque al Tesoro de EE. UU.

 

 

PNUMA, PNUMA

92 / 100