Gestión Documental OrfeoTechnology

Vulnerabilidad identificada en Orfeo

Vulnerabilidad identificada en Orfeo

Skina Technologies ha identificado un exploit o programa malicioso dirigido a Orfeo que permite ejecutar comandos localmente por un usuario no autorizado. Este exploit re-escribe los nombres de la Tabla de Dependencias para ejecutar repetidamente un código malicioso colocado en la bodega de documentos. A continuación describimos algunas acciones que pueden ayudar a solucionar esta vulnerabilidad en el sistema:

¿Qué aspectos son vulnerables? 

  • Desde las versiones 3.7 hasta la 5.8 de Orfeo
  • Con PHP 5.4
  • Sin restricciones de listado o ejecución en la bodega
  • Archivos o directorios con permisos para el universo (777)

¿Cómo identificar si es víctima de este programa malicioso? 

  • En todos los sitios donde se desplieguen las dependencias, encontrarás basura y si miras con detalle es un llamado a i.js
  • Busca un archivo de javascript en la bodega  (en Linux    find /bodega -name i.js)
  • A veces puede quedar algún archivo php como: errror.php  (find /bodega -name «*.php» )

¿Cómo eliminarlo?

  • Realizando una restauración de un Backup de la Tabla de Dependencias. Afortunadamente es el único daño que hace el exploit.
  • Borrando el archivo i.js donde lo encuentres.

¿Cómo protegerse?

  • Revisando los permisos de sus fuentes de Orfeo. No deben pertenecer al usuario apache (www-data)
  • No deben existir directorios ni directorios con permisos lectura/escritura/ejecución ( 777 ) para todos.
  • Proteja desde apache el directorio de Orfeo y su bodega evitando listados y ejecución en la bodega.

Agregue a

/etc/httpd/conf.d/orfeo.conf   o /etc/apache2/conf-enable/orfeo.conf

****************** 
    Options FollowSymLinks MultiViews 
    Options -Indexes 
    AllowOverride None 
    Order allow,deny 
    allow from all 

    Options FollowSymLinks MultiViews 
    Options -Indexes 
    AllowOverride None 
    Order allow,deny 
    allow from all 
    <FilesMatch «(?i)\.(php|php3?|phtml|js|sh)$»> 
            Order Deny,Allow 
            Deny from All      

   php_admin_value engine Off  

*****************************

Por supuesto adapta esta configuración a tu instalación particular. 

En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos en Skinatech.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *