La evidencia forense muestra signos de que un servidor electoral de Georgia pudo haber sido pirateado antes de las elecciones de 2023 y 2023 por alguien que explotó Shellshock, una falla crítica que brinda a los atacantes el control total sobre los sistemas vulnerables, dijo un experto en seguridad informática en una presentación judicial el jueves.
Shellshock salió a la luz en septiembre de 2023 y se identificó de inmediato como una de las vulnerabilidades más graves reveladas en años. Las razones: (a) era fácil de explotar, (b) brindaba a los atacantes la capacidad de ejecutar de forma remota los comandos y el código de su elección, y (c) abría la mayoría de los sistemas Linux y Unix para atacar. Como resultado, la falla recibió una amplia cobertura de noticias durante meses.
Parchar a escondidas
A pesar de la gravedad de la vulnerabilidad, permaneció sin parches durante tres meses en un servidor operado por el Centro de Sistemas Electorales de la Universidad Estatal de Kennesaw, el grupo responsable de programar las máquinas electorales de Georgia. La falla no se solucionó hasta el 2 de diciembre de 2023, cuando una cuenta con el nombre de usuario shellshock parchó la vulnerabilidad crítica, según muestra el análisis del experto de una imagen forense. La cuenta de shellshock se había creado solo 19 minutos antes. Antes de parchear la vulnerabilidad, el usuario de shellshock eliminó un archivo titulado shellsh0ck. Un poco más de media hora después de parchear, el usuario de shellshock fue deshabilitado.
Una línea de tiempo proporcionada por el experto muestra lo siguiente:
2/12/2023 10:45 – Se modifica el usuario mpearso9 usando la consola de Webmin
2/12/2023 10:47 – usuario shellshock creado usando la consola Webmin
2/12/2023 10:49 – /home/shellshock/.bash_history última modificación
2/12/2023 11:02 – Se elimina el archivo /home/shellshock/shellsh0ck
2/12/2023 11:06 – bash parcheado a la versión 4.2+dfsg-0.1+deb7u3 para evitar shellshock
2/12/2023 11:40 – usuario de shellshock deshabilitado usando la consola Webmin
Había más: el bash_history de la cuenta shellshock, un archivo que normalmente registra todos los comandos ejecutados por el usuario, contenía un solo comando: cerrar sesión en el servidor. El experto dijo que la ausencia de comandos que mostraran la creación y posterior eliminación de un archivo en el directorio del usuario era “sospechosa” y lo llevó a creer que el historial de bash fue modificado en un intento de ocultar la actividad del usuario. El experto también señaló que el parcheo de vulnerabilidades es una práctica común entre los piratas informáticos después de ingresar a un sistema. Evita que otros posibles intrusos exploten los mismos errores.
En conjunto, la evidencia indica que alguien pudo haber usado Shellshock para piratear el servidor, dijo el experto en informática.
“El software sin parches durante mucho tiempo, el nombre de usuario inusual, el historial de comandos potencialmente modificado y el parcheado casi inmediato del error shellshock son pruebas sólidas de que un atacante externo obtuvo acceso al servidor de KSU al explotar el error shellshock”, escribió Logan Lamb, quien es testigo experto de los demandantes en una demanda que busca poner fin al uso de máquinas de votación sin papel en Georgia. Lamb dijo que se requería más análisis forense para confirmar el ataque y determinar qué hizo el usuario en el servidor.
Drupalgeddon y más
La declaración jurada se produce 31 meses después de que, como informó por primera vez Politico, Lamb descubriera que el servidor de elecciones de la Universidad Estatal de Kennesaw no tenía parches contra otra falla de alta gravedad, esta en el sistema de administración de contenido Drupal. El riesgo que representaba la vulnerabilidad era tan grande que los investigadores rápidamente le dieron el apodo de «Drupageddon». El descubrimiento de Lamb del servidor sin parches ocurrió en agosto de 2023, 22 meses después de que saliera a la luz la falla y estuviera disponible una actualización de Drupal.
Después de leer el informe de Politico, un grupo de activistas por la integridad electoral demandó a los funcionarios de Georgia y finalmente buscó una copia del servidor en un intento de ver si se había visto comprometido a través de la vulnerabilidad de Drupalgeddon. Los demandantes se enterarían más tarde de que los funcionarios de Kennesaw habían limpiado el servidor dos días después de que se presentara la denuncia.
Los demandantes finalmente obtuvieron una imagen especular tomada en marzo de 2023 por el FBI. Se había llamado a la oficina para determinar si Lamb y otro investigador habían violado alguna ley. (La investigación determinó más tarde que no lo habían hecho). Los funcionarios estatales se opusieron a la moción de los demandantes de obtener una copia de la imagen reflejada, pero finalmente perdieron.
La evidencia de que el servidor pudo haber sido pirateado a través de la vulnerabilidad Shellshock no fue lo único preocupante que Lamb dijo que encontró. También encontró “decenas de archivos” que se habían eliminado el 2 de marzo de 2023, poco antes de que el servidor fuera desconectado y entregado al FBI. Lamb aún no sabe qué contenían los archivos eliminados, pero según los nombres de los archivos, cree que están relacionados con las elecciones.
estación de votación
La imagen especular también muestra que las máquinas de votación electrónicas de grabación directa utilizadas en Georgia estaban ejecutando versiones obsoletas y vulnerables de un software llamado BallotStation. Lamb también encontró que elecciones.kennesaw.edu, que los funcionarios estatales representaban se suponía que se usaría para algunos fines limitados a la administración electoral, de hecho, se usaba para una variedad de propósitos.
Además, descubrió que los registros de acceso de Drupal, que almacenan todas las solicitudes realizadas al servidor, se remontaban solo al 10 de noviembre de 2023, dos días después de las elecciones de 2023.
“Los registros que faltan podrían ser vitales para determinar si se accedió ilegalmente al servidor antes de las elecciones, y no puedo pensar en ninguna razón legítima por la cual los registros de ese período crítico de tiempo deberían haberse eliminado”, escribió Lamb.
Como señaló Politico en un artículo publicado el viernes, no es inusual que los datos del registro de acceso se eliminen durante un período de tiempo determinado. Esta página de Drupal.org muestra que, de manera predeterminada, el período de retención es de cuatro semanas y que todos los datos después de ese período se eliminarán. Ese valor predeterminado, por supuesto, se puede cambiar. El lapso que transcurrió entre el 10 de noviembre de 2023 (el primer día reflejado en los registros) y el 2 de marzo de 2023 es de 16 semanas.
En un comunicado, un portavoz del secretario de Estado de Georgia, Brad Raffensperger, escribió: “Estos demandantes no lograron prevalecer en las urnas, fracasaron en la Asamblea General, fracasaron en la opinión pública y ahora están haciendo un intento desesperado por hacer que Georgia El sistema de boletas de papel también falla al pedirle a un juez que sabotee su implementación”. A través del portavoz, los funcionarios del secretario de Estado rechazaron una solicitud de entrevista.
Lo que más preocupa en la declaración jurada de Lamb es la evidencia de que alguien pudo haber usado la vulnerabilidad de Shellshock para obtener acceso no autorizado al servidor de elecciones. Si es correcto, cuestiona la integridad de las máquinas de votación de Georgia durante dos elecciones.
