Hace un par de semanas publicamos una vulnerabilidad identificada en Orfeo por Skina Technologies y hoy hemos detectado que la vulnerabilidad reportada ha mutado.
A diferencia de la anterior, ésta además de cambiar las dependencias también altera la tabla de usuarios y cambia la contraseña de todos, bloqueando el acceso. Hasta el momento solo hemos detectado víctimas corriendo PHP 5.4.
Es importante mencionar que ya no está colocando el viejo javascript (i.js) ahora está colocando archivos php en cualquier directorio con permisos. Por eso, es necesario tomar medidas adicionales radicales que mencionaremos a continuación:
1. El directorio de Orfeo no puede pertenecer a Apache
$> chown -R root:root directorio_de_orfeo
2. A la bodega que ya protegimos con el reporte pasado, nos faltan dos librerías que escriben temporales
2.1 Adodb: En el config.php las últimas líneas deben tener el temporal apuntando a la bodega
$ADODB_CACHE_DIR=»$DIR_RAIZ/bodega/tmp»;
2.2 tcpdf: Debe mover el cache a ese directorio a la bodega
$> cd directorio_de_orfeo/include/tcpdf $> mv cache directorio_de_orfeo/bodega $> ln -s directorio_de_orfeo/bodega/cache
3. Quitar todos los permisos de escritura y dejar todo Read/Only
$> find directorio_de_orfeo -type d -exec chmod 555 {} \; $> find directorio_de_orfeo -type f -exec chmod 444 {} \;
4. Corrija los permisos de la bodega para que pueda seguir escribiendo en ella.
$> chown -R root:root directorio_de_orfeo $> find directorio_de_orfeo/bodega -type d -exec chmod 755 {} \; $> find directorio_de_orfeo/bodega -type f -exec chmod 644 {} \;
Si tenemos alguna otra novedad los estaremos manteniendo al tanto.
En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos en Skinatech.com.