Hemos identificado un exploit o programa malicioso dirigido a Orfeo que permite ejecutar comandos localmente por un usuario no autorizado. Este exploit re-escribe los nombres de la Tabla de Dependencias para ejecutar repetidamente un código malicioso colocado en la bodega de documentos. A continuación describimos algunas acciones que pueden ayudar a solucionar esta vulnerabilidad en el sistema:
¿Qué aspectos son vulnerables?
- Las versiones 3.7 a 5.8 de Orfeo
- Con PHP 5.4
- Sin restricciones de listado o ejecución en la bodega
- Archivos o directorios con permisos para el universo (777)
¿Cómo identificar si es víctima de este programa malicioso?
- En todos los sitios donde se desplieguen las dependencias, encontrará basura y si revisa con detalle es un llamado a i.js
- Busque un archivo de javascript en la bodega (en Linux find /bodega -name i.js)
- A veces puede quedar algún archivo php como: errror.php (find /bodega -name «*.php» )
¿Cómo eliminarlo?
- Realizando una restauración de un Backup de la Tabla de Dependencias. Afortunadamente es el único daño que hace el exploit.
- Borrando el archivo i.js donde lo encuentre.
¿Cómo protegerse?
- Revisando los permisos de sus fuentes de Orfeo. No deben pertenecer al usuario apache (www-data)
- No deben existir directorios con permisos lectura/escritura/ejecución ( 777 ) para todos.
- Proteja desde apache el directorio de Orfeo y su bodega evitando listados y ejecución en la bodega.
Agregue a /etc/httpd/conf.d/orfeo.conf o /etc/apache2/conf-enable/orfeo.conf
******************
<Directory /var/www/html/orfeo>
Options FollowSymLinks MultiViews
Options -Indexes
AllowOverride None
Order allow,deny
allow from all
</Directory>
<Directory /var/www/html/*/bodega>
Options FollowSymLinks MultiViews
Options -Indexes
AllowOverride None
Order allow,deny
allow from all
<FilesMatch «(?i)\.(php|php3?|phtml|js|sh)$»>
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
<Location /*/bodega>
php_admin_value engine Off
</Location>
*****************************
Por supuesto adapte esta configuración a su instalación particular.
En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos Skinatech.com