Um servidor eleitoral da Geórgia era vulnerável ao Shellshock e pode ter sido hackeado

3

Fotografia do close up de um cartão de acesso ao eleitor de Geórgia.

Evidências forenses mostram sinais de que um servidor eleitoral da Geórgia pode ter sido invadido antes das eleições de 2016 e 2018 por alguém que explorou o Shellshock, uma falha crítica que dá aos atacantes controle total sobre sistemas vulneráveis, disse um especialista em segurança de computadores em um processo na quinta-feira.

Trauma pós guerra veio à luz em setembro de 2014 e foi imediatamente identificada como uma das vulnerabilidades mais graves a serem divulgadas em anos. Os motivos: (a) foi fácil de explorar, (b) deu aos atacantes a capacidade de executar remotamente comandos e códigos de sua escolha, e (c) abriu a maioria dos sistemas Linux e Unix para atacar. Como resultado, a falha recebida ampla cobertura noticiosa por meses.

Remendando às escondidas

Apesar da gravidade da vulnerabilidade, ela permaneceu sem remendos por três meses em um servidor operado pelo Centro de Sistemas Eleitorais da Universidade Estadual de Kennesaw, o grupo responsável pela programação das máquinas eleitorais da Geórgia. A falha não foi corrigida até 2 de dezembro de 2014, quando uma conta com o nome de usuário shellshock corrigiu a vulnerabilidade crítica, mostra a análise do especialista sobre uma imagem forense. A conta do shellshock havia sido criada apenas 19 minutos antes. Antes de corrigir a vulnerabilidade, o usuário do shellshock excluiu um arquivo chamado shellsh0ck. Pouco mais de meia hora após o patch, o usuário do shellshock foi desativado.

Uma linha do tempo fornecida pelo especialista mostra o seguinte:

02/12/2014 10:45 – o usuário mpearso9 é modificado usando o console Webmin
02/12/2014 10:47 – usuário do shellshock criado usando o console Webmin
02/12/2014 10:49 – /home/shellshock/.bash_history modificado pela última vez
02/12/2014 11:02 – O arquivo / home / shellshock / shellsh0ck é excluído
02/12/2014 11:06 – bash corrigido para a versão 4.2 + dfsg-0.1 + deb7u3 para impedir o shellshock
02/12/2014 11:40 – usuário do shellshock desativado usando o console Webmin

Havia mais: o bash_history da conta shellshock – um arquivo que normalmente registra todos os comandos executados pelo usuário – continha um único comando: para sair do servidor. O especialista disse que a ausência de comandos mostrando a criação e a exclusão posterior de um arquivo no diretório do usuário era "suspeita" e o levou a acreditar que o histórico do bash foi modificado na tentativa de ocultar a atividade do usuário. O especialista também observou que a correção de vulnerabilidades é uma prática comum entre os hackers após invadir um sistema. Impede que outros possíveis invasores explorem os mesmos erros.

Em conjunto, as evidências indicam que alguém pode ter usado o Shellshock para invadir o servidor, disse o especialista em computadores.

“O software longo sem patch, nome de usuário incomum, histórico de comandos potencialmente modificado e correção quase imediata do bug do shellshock são evidências fortes de que um invasor externo obteve acesso ao servidor KSU ao explorar o bug do shellshock”, escreveu Logan Lamb, que é uma testemunha especializada de demandantes em um processo que busca o fim do uso de máquinas de votação sem papel pela Geórgia. Lamb disse que mais análises forenses são necessárias para confirmar o ataque e determinar o que o usuário fez no servidor.

Drupalgeddon e mais

A declaração vem 31 meses depois, como Politico relatado pela primeira vez, Lamb descobriu que o servidor de eleições da Universidade Estadual de Kennesaw não tinha remendos contra outra falha de alta gravidade, essa no sistema de gerenciamento de conteúdo Drupal. O risco representado pela vulnerabilidade era tão grande que os pesquisadores rapidamente deram o apelido Drupageddon. A descoberta de Lamb do servidor sem patch aconteceu em agosto de 2016, 22 meses após a falha ter surgido e uma atualização do Drupal estar disponível.

Depois de ler o relatório do Politico, um grupo de ativistas da integridade eleitoral processou autoridades da Geórgia e, eventualmente, procurou uma cópia do servidor, na tentativa de verificar se ele havia sido comprometido pela vulnerabilidade do Drupalgeddon. Os queixosos ficariam sabendo depois que os funcionários de Kennesaw haviam limpado o servidor dois dias após a denúncia.

Os autores finalmente obtiveram uma imagem espelhada tirada em março de 2017 pelo FBI. O departamento havia sido chamado para determinar se Lamb e outro pesquisador haviam violado alguma lei. (Mais tarde, a investigação determinou que não.) As autoridades estaduais se opuseram à moção dos demandantes por uma cópia da imagem espelhada, mas acabaram perdendo.

A evidência de que o servidor pode ter sido invadido pela vulnerabilidade do Shellshock não foi a única coisa preocupante que Lamb disse que encontrou. Ele também encontrou "dezenas de arquivos" que foram excluídos em 2 de março de 2017, pouco antes de o servidor ser colocado offline e entregue ao FBI. Lamb ainda não sabe o que os arquivos excluídos continham, mas com base nos nomes dos arquivos, ele acredita que eles estejam relacionados às eleições.

BallotStation

A imagem no espelho também mostra que as urnas eletrônicas de gravação direta usadas na Geórgia estavam executando versões desatualizadas e vulneráveis ​​do software chamado BallotStation. Lamb também descobriu que as eleições.kennesaw.edu, representadas por funcionários do estado, deveriam ser usadas para alguns fins limitados à administração das eleições, de fato, eram usadas para uma variedade de propósitos.

Além disso, ele descobriu que os logs de acesso do Drupal, que armazenam todas as solicitações feitas ao servidor, retornavam apenas a 10 de novembro de 2016, dois dias após a eleição de 2016.

"Os registros ausentes podem ser vitais para determinar se o servidor foi acessado ilegalmente antes da eleição, e não consigo pensar em nenhuma razão legítima para a exclusão de registros desse período crítico", escreveu Lamb.

Como Politico observou em um artigo publicado na sexta-feira, não é incomum que os dados do log de acesso sejam excluídos por um período definido. Esta página do Drupal.org mostra que, por padrão, o período de retenção é de quatro semanas e que todos os dados após esse período serão excluídos. Esse padrão, é claro, pode ser alterado. O período que passou entre 10 de novembro de 2016 – o primeiro dia refletido nos logs – e 2 de março de 2017 é de 16 semanas.

Em um comunicado, um porta-voz do secretário de Estado da Geórgia, Brad Raffensperger, escreveu: “Esses demandantes não prevaleceram na cabine de votação, falharam na Assembléia Geral, falharam na opinião pública e agora estão fazendo uma tentativa desesperada de fazer com que a Geórgia o sistema de votação em papel também falha ao pedir a um juiz que sabote sua implementação. ”Por meio do porta-voz, o secretário de Estado recusou um pedido de entrevista.

A maior preocupação no depoimento de Lamb é a evidência de que alguém pode ter usado a vulnerabilidade do Shellshock para obter acesso não autorizado ao servidor de eleições. Se correto, questiona a integridade das urnas na Geórgia durante duas eleições.

Fonte: Ars Technica