Sin duda, ha sido una semana bastante embarazosa para la empresa de seguridad HBGary y a su rama HBGary Federal. El CEO de HBGary Federal, Aaron Barr pensaba que ya tenia los nombres de la mayoría de hackers pertenecientes a Anonymous, y se disponía a nombrarlos y tomar medidas legales por los ataques de Denegación de Servicio (DoS, Denial Of Service) que afectaron a MasterCard, Visa y otros supuestos enemigos de WikiLeaks.

Cuando Aaron Barr dijo esto en público, la respuesta de Anonymous fue rápida y humillante, muy humillante. Rompieron la seguridad de los servidores de HBGary, obtuvieron la base de datos y la publicaron, borraron datos, y modificaron su página web. Como bonus, gracias a los datos obtenidos de este hackeo, atacaron un segundo sitio, propiedad de Greg Hoglund, al igual que HBGary.

Pero, ¿cómo fue este ataque? Al tratarse de una famosa empresa de seguridad, la mayoría de vosotros pensareís que tuvo que ser difícil, con métodos complejos y uso de varias herramientas, ¿no? Pues estáis equivocados.

La página de HBGary Federal usaba un Sistema de Gestión de Contenidos (CMS, Content Management System) bastante pobre en lo que se refiere a seguridad, y con un código que no es precisamente el mejor: CMSes. El ataque fue muy, pero que muy sencillo: Una Inyección SQL. Si, alucinante, una empresa supuestamente experta en seguridad, y en su web tenía uno de los errores más comunes en cualquier web, que puede comprometer un servidor entero.

Bueno, con una vulnerabilidad de Inyección SQL en sus manos, Anonymous atacó la página y salió victorioso. La URL vulnerable fue exactamente esta:

http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27
Tiene dos parámetros o variables, pageNav y page donde una de las dos, o ambas, no eran verificadas correctamente por el CMS, pudiendo obtener datos privados, como usuarios y contraseñas, en vez de los datos que pide la variable.

Un poco irónico que una empresa de seguridad, sea tan insegura, ¿no?