Hace un par de semanas publicamos una vulnerabilidad identificada en Orfeo por Skina Technologies y hoy hemos detectado que la vulnerabilidad reportada ha mutado.
A diferencia de la anterior, ésta además de cambiar las dependencias también altera la tabla de usuarios y cambia la contraseña de todos, bloqueando el acceso. Hasta el momento solo hemos detectado víctimas corriendo PHP 5.4.
Es importante mencionar que ya no está colocando el viejo javascript (i.js) ahora está colocando archivos php en cualquier directorio con permisos.Por eso, es necesario tomar medidas adicionales radicales que mencionaremos a continuación:
1. El directorio de Orfeo no puede pertenecer a Apache
$> chown -R root:root directorio_de_orfeo
2. A la bodega que ya protegimos con el reporte pasado, nos faltan dos librerías que escriben temporales
2.1 Adodb: En el config.php las últimas líneas deben tener el temporal apuntando a la bodega
$ADODB_CACHE_DIR=»$DIR_RAIZ/bodega/tmp»;
2.2 tcpdf: Debe mover el cache a ese directorio a la bodega
$> cd directorio_de_orfeo/include/tcpdf $> mv cache directorio_de_orfeo/bodega $> ln -s directorio_de_orfeo/bodega/cache
3. Quitar todos los permisos de escritura y dejar todo Read/Only
$> find directorio_de_orfeo -type d -exec chmod 555 {} \; $> find directorio_de_orfeo -type f -exec chmod 444 {} \;
4. Corrija los permisos de la bodega para que pueda seguir escribiendo en ella.
$> chown -R root:root directorio_de_orfeo $> find directorio_de_orfeo/bodega -type d -exec chmod 755 {} \; $> find directorio_de_orfeo/bodega -type f -exec chmod 644 {} \;
Si tenemos alguna otra novedad los estaremos manteniendo al tanto.
En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos en Skinatech.com.
8 comentarios en «Vulnerabilidad Detectada en Orfeo»
Por qué utilizar root:root si no es recomendable usar este usuario
Porque root es el superusuario y si este usuario se compromete o es mal usado puede dañar TODO !!!! Cuando usas un usuario normal / mortal .. el impacto de un compromiso o de un error esta limitado.
Justo por eso, pregunto por qué es necesario que el directorio tenga permisos de root.
Realmnente es necesario que pertenezcan a un usuario diferente a apache y de esta forma protegerlo contra ataques.
Después de instalar ofeo 6
Cuál es el usuario y password por defecto? o qué se debe hacer para definir los usuarios.
Para orfeo es admon / admin .. para el sistema operativo es admin /kuine
No me funciona en mi instalación.
Conoces a alguien que pueda dar soporte en esto.??
Formalmente, nuestros patrocinadores se encargan de eso. Si quieres escribe a comercial@skinatech.com
Los comentarios están cerrados.