La 9ª de Anonymous compromete los sitios web de Capio Sanidad



La 9ª compañía ha publicado un mensaje informando que han tomado "el control de TODA su identidad online: Capio Sanidad, Capio Enfermería y, aun más grave, las webs de los Hospitales que gestiona, incluyendo citas online, analíticas, etc.".
 
El grupo de Anonymous lleva a cabo esta acción contra la privatización de la sanidad pública y particularmente en represalia contra Capio Sanidad, que se llevará próximamente los hospitales públicos de Castilla La Mancha y Valencia. 
 
Si observamos con detalle el vídeo, vemos que la web utilizaba un servidor de aplicaciones Jboss desactualizado (4.2.3 GA) y la consola JMX era accesible publicamente (www.capiosanidad.es/jmx-console/).

La "demo" muestra como era posible apagar remotamente el servidor de aplicaciones, pero áun más interesante son las URLs que demuestran que se ha conseguido desplegar un webshell (/zecmd/zecmd.jsp).

Probablemente esto se consiguió a través del mbean DeploymentFileRepository y aprovechando la vulnerabilidad CVE-2010-0738: la consola sólo aplica restricciones de seguridad para peticiones GET y POST, obviando otros métodos como HEAD.


Esto nos podría permitir desarrollar una petición para subir y desplegar un war malicioso, tal y como ya explotó masivamente el gusano Linda:





Lamentable es la privatización de nuestra sanidad pública y lamentable es que no se destinen los recursos necesarios para proteger la seguridad de los sistemas informáticos que alojan los datos de miles de pacientes.

Recordemos que son datos de carácter personal de nivel alto (LOPD). ¿Se ha llevado a cabo la correspondiente auditoría?, ¿existe el conjunto de medidas de carácter técnico y organizativo que está obligado a implantar el responsable del fichero a fin de garantizar la seguridad de los equipos y sistemas informáticos?

10 comentarios :

  1. Menuda seguridad para los pacientes... ¿esta gentuza se quedará los recursos públicos que han salido de nuestro bolsillos a fuerza de currar? Es enfermizo, y nunca mejor dicho...

    ResponderEliminar
  2. Pues si esa es la seguridad que ofrecen para los datos de los pacientes, no quiero ni pensar el control que tendrán sobre tratamientos, medicamentos, etc. Vamos que entras por una apendicitis y sales con la apendicitis y un riñón menos.

    ResponderEliminar
  3. No creo que se trate de asegurar los datos de los paciente, si bien deberían estar seguros, así esto trata de que nosotros tenemos el control de las IT y somos nosotros los que manejamos el tinglado, es decir que si creo tu seguridad, tal vez la pueda burlar si es que has perdido el norte?
    Animo Anonymous !! No dejeis que nos tomen más el pelo !!!
    Por una sociedad humana sin partidismo obsoletos.
    Jose Manuel Orts.

    ResponderEliminar
  4. parece mentira que os pasasteis ya por la seguridad social...o nunca os pusisteis enfermos en la vida?

    eso de los datos..eso si es de verguenza. yo no quiero pensar en lo que cobraban por la página web...

    ResponderEliminar
  5. Les comunique este y varios fallos mas el 10 de octubre. Me ofrecí a auditarles en profundidad gratis. Me dijeron que gracias...

    ResponderEliminar
  6. Le deberian dar las gracias a King Cope :P

    ResponderEliminar
  7. Bueno, en realidad la 9ª de Anonymous les ha hecho una eficaz auditoria...y gratis, además de invitarles a dejar de hacer el tonto informático. ¡Bien por estos guerreros de la red!.

    ResponderEliminar
  8. pues no creo que la LOPD les diga mucho, es el tipo de gastos que suelen minimizar, la seguridad de los datos de los pacientes. TELITA. Peuden tener acceso a tus análisis, saber si estás en tratamiento de quimioterápia, si tienes hepatis...

    ResponderEliminar
  9. Esta mañana comentaban esta noticia en la Ser.

    Os recomiendo echar un vistazo también al artículo de Kinomakino:

    http://kinomakino.blogspot.com.es/2012/10/capio-hackeada-y-el-responsable-no-se.html

    ResponderEliminar
  10. Se trata de decirles que ellos controlan los parlamentos las leyes y los jueces, se trata de decirles que esta es nuestra casa y que no pueden hacer lo que quieran. Gracias a todos los anons, porque demuestran tener conciencia social, y estar con los pies en el suelo, solo espero que en alguno de esos servers haya pruebas de como se ha orquestados uno de los mayores robos a la sociedad española, el robo de su sanidad.

    La pena es que probablemente para la gente los delincuentes seguirán siendo los que denuncian los delitos y los "pobrecitos" serán los que roban ... no hay mas ciego que el que no quiere ver

    ResponderEliminar