Con anterioridad, en este mismo espacio, se había señalado la existencia de links “raros” en el sitio principal de argentina y también se había alertado sobre su peligrosidad.
Ayer, 11/1/2020, revisaba zone-h.org buscando los últimos sitios defaceados del país porque, con casi una frecuencia semanal, ocurre un delito informático en Argentina cuyas consecuencias nos llegan a traves de google o pastebin o zone-h,
http://web.archive.org/web/20200110121550/https://pastebin.com/f9cVUEq2
http://web.archive.org/web/20191225142719/https://pastebin.com/XBXT3ikK
y además porque últimamente desarrollé un intenso interés por este tipo de actividad ignorada por los medios de comunicación tradicionales, y observé en la lista de zone-h el sitio de argentina.gob.ar.
El deface correspondia a la siguiente url:
http://www.argentina.gob.ar/sites/default/files/webform/tda.html
preguntando en foros y consultando gente que sabe más que yo, desarrollé la hipótesis que probablemente no llegaron al root path del sitio web, ni comprometieron el host completo, sino que solo lograron subir un archivo llamado tda.html en la ruta /sites/default/files/webform/. El archivo tda.html seteaba una cookie de index.php e inyectaba las siguientes urls:
https://sr-blue.github.io/sr_blue.github.io/tda/
https://pastebin.com/raw/fgzG4SXV
Como resultado podía verse lo siguiente en el sitio argentina.gob.ar:
Más preguntas sobre el deface:
¿argentina.gob.ar es un drupal?, como parece sugerir la ruta donde fue subido el archivo tda.html.
¿La vulnerabilidad es un arbitrary file upload?, como, después de googlear un rato, se sugiere en el siguiente link: http://www.exploit4arab.org/exploits/2097