La historia es la siguiente: un hacker llamado CyberZeist ha presumido en Twitter de haber hackeado la página web oficial del FBI (fbi.gov). El misterioso sujeto al menos tuvo la cortesía de anunciar el agujero de seguridad el pasado 22 de diciembre, dando tiempo al FBI a parchear los problemas, antes de hacer públicos en Pastebin los datos de hasta 155 agentes de esta organización. Información que incluía los nombres, contraseñas y correos electrónicos de cada uno de ellos.

El atacante se aprovechó de una vulnerabilidad de ‘zero-day’ en el Plone CMS, el software de gestión de contenidos de código abierto que usa el FBI para manejar su página web. Gracias a este agujero, CyberZeist logró incluir archivos en el servidor local y manipular algunos complementos de Python.

Y lo que es peor: algunas fuentes recogidas por The Hacker News afirman que los detalles de esta vulnerabilidad estarían a la venta en la Internet Oscura; con lo que nuevos ciberdelincuentes podrían seguir esta línea para descubrir nuevos vectores de ataque. Eso pese a que Plone CMS está considerado como uno de los gestores de contenidos más seguros en la actualidad, usado por entidades de la talla del propio FBI, la CIA o la mismísima Google. De hecho, CyberZeist ya ha alertado a organismos como Amnistía Internacional, el Centro de Coordinación de Derechos de Propiedad Intelectual o la Agencia para la Seguridad de las Redes y la Información de la Unión Europea, que también usan este sistema.

La controversia llega con lo siguiente: Plone CMS ya ha anunciado el lanzamiento de un parche urgente de seguridad de cara al próximo 17 de enero. Eso sí, por el momento desde el equipo de este sistema afirman que “no hay evidencia de que los problemas solucionados por el parche se estén explotando activamente”. De hecho, aclaran que los agujeros corregidos no están relacionados con el ataque de CyberZeist, el cual defienden ha inventado todo el ataque con ayuda de “Photoshop” y datos que probablemente sean públicos o directamente falsos.