Vulnerabilidad identificada en Orfeo

Vulnerabilidad indentificada_en_Orfeo_por_Skinatech

Vulnerabilidad identificada en Orfeo

Hemos identificado un exploit o programa malicioso dirigido a Orfeo que permite ejecutar comandos localmente por un usuario no autorizado. Este exploit re-escribe los nombres de la Tabla de Dependencias para ejecutar repetidamente un código malicioso colocado en la bodega de documentos. A continuación describimos algunas acciones que pueden ayudar a solucionar esta vulnerabilidad en el sistema:

¿Qué aspectos son vulnerables?

  • Las versiones 3.7 a 5.8 de Orfeo 
  • Con PHP 5.4
  • Sin restricciones de listado o ejecución en la bodega
  • Archivos o directorios con permisos para el universo (777)

 

¿Cómo identificar si es víctima de este programa malicioso?

  • En todos los sitios donde se desplieguen las dependencias, encontrará basura y si revisa con detalle es un llamado a i.js
  • Busque un archivo de javascript en la bodega  (en Linux    find /bodega -name i.js)
  • A veces puede quedar algún archivo php como: errror.php  (find /bodega -name «*.php» )

 

¿Cómo eliminarlo?

  • Realizando una restauración de un Backup de la Tabla de Dependencias. Afortunadamente es el único daño que hace el exploit.
  • Borrando el archivo i.js donde lo encuentre.

 

¿Cómo protegerse?

  • Revisando los permisos de sus fuentes de Orfeo. No deben pertenecer al usuario apache (www-data)
  • No deben existir directorios con permisos lectura/escritura/ejecución ( 777 ) para todos.
  • Proteja desde apache el directorio de Orfeo y su bodega evitando listados y ejecución en la bodega.

 

Agregue a /etc/httpd/conf.d/orfeo.conf   o /etc/apache2/conf-enable/orfeo.conf

******************
<Directory /var/www/html/orfeo>
Options FollowSymLinks MultiViews
Options -Indexes
AllowOverride None
Order allow,deny
allow from all
</Directory>

<Directory /var/www/html/*/bodega>
Options FollowSymLinks MultiViews
Options -Indexes
AllowOverride None
Order allow,deny
allow from all
<FilesMatch «(?i)\.(php|php3?|phtml|js|sh)$»>
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
<Location /*/bodega>
php_admin_value engine Off
</Location>
*****************************

Por supuesto adapte esta configuración a su instalación particular.
En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos Skinatech.com

Deja un comentario