El viernes 31 me enteré que un host de la Universidad de Lanus había sido comprometido. Habian dumpeado tablas con usuarios y contraseñas en un conocido foro de delincuentes.
Observando las filtraciones publicadas me concentré en la tabla epc_users porque contenía información del administrador del host comprometido
Hay un host muy chico en la UNLA llamado epc.unla.edu.ar, SIN EMBARGO, aunque sea pequeño, comparte alojamiento con dominios relevantes como son www.unla.edu.ar alumnos.unla.edu.ar campus.unla.edu.ar y otros
Sin hacer un analisis exaustivo del supuesto dominio comprometido comprobé que allí se usaba una versión moodle antigua, muy antigua.
Certezas:
El delincuente se hizo de credenciales y usuarios de epc.unla.edu.ar, algunas muy antiguas, otras no tanto. La credencial mas reciente parece ser del 2020.
Preguntas:
Consiguio acceso al dominio utilizanndo una vulnerabilidad del moodle antiguo? El delincuente tiene una shell dentro del dominio o solo consiguió dumpear información utilizando una vulnerabilidad?, si tiene una shell, pudo escalar privilegios dentro del host y obtener información mas importantes de dominios más relevantes como el campus.unla.edu.ar o alumnos.unla.edu.ar?