Vulnerabilidad indentificada_en_Orfeo_por_Skinatech

Vulnerabilidad identificada en Orfeo

Hemos identificado un exploit o programa malicioso dirigido a Orfeo que permite ejecutar comandos localmente por un usuario no autorizado. Este exploit re-escribe los nombres de la Tabla de Dependencias para ejecutar repetidamente un código malicioso colocado en la bodega de documentos. A continuación describimos algunas acciones que pueden ayudar a solucionar esta vulnerabilidad en el sistema:

¿Qué aspectos son vulnerables?

  • Las versiones 3.7 a 5.8 de Orfeo 
  • Con PHP 5.4
  • Sin restricciones de listado o ejecución en la bodega
  • Archivos o directorios con permisos para el universo (777)

 

¿Cómo identificar si es víctima de este programa malicioso?

  • En todos los sitios donde se desplieguen las dependencias, encontrará basura y si revisa con detalle es un llamado a i.js
  • Busque un archivo de javascript en la bodega  (en Linux    find /bodega -name i.js)
  • A veces puede quedar algún archivo php como: errror.php  (find /bodega -name «*.php» )

 

¿Cómo eliminarlo?

  • Realizando una restauración de un Backup de la Tabla de Dependencias. Afortunadamente es el único daño que hace el exploit.
  • Borrando el archivo i.js donde lo encuentre.

 

¿Cómo protegerse?

  • Revisando los permisos de sus fuentes de Orfeo. No deben pertenecer al usuario apache (www-data)
  • No deben existir directorios con permisos lectura/escritura/ejecución ( 777 ) para todos.
  • Proteja desde apache el directorio de Orfeo y su bodega evitando listados y ejecución en la bodega.

 

Agregue a /etc/httpd/conf.d/orfeo.conf   o /etc/apache2/conf-enable/orfeo.conf

******************
<Directory /var/www/html/orfeo>
Options FollowSymLinks MultiViews
Options -Indexes
AllowOverride None
Order allow,deny
allow from all
</Directory>

<Directory /var/www/html/*/bodega>
Options FollowSymLinks MultiViews
Options -Indexes
AllowOverride None
Order allow,deny
allow from all
<FilesMatch «(?i)\.(php|php3?|phtml|js|sh)$»>
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
<Location /*/bodega>
php_admin_value engine Off
</Location>
*****************************

Por supuesto adapte esta configuración a su instalación particular.
En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos Skinatech.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Resolver : *
20 ⁄ 5 =