Vulnerabilidad identificada en Orfeo

Vulnerabilidad identificada en Orfeo

Skina Technologies ha identificado un exploit o programa malicioso dirigido a Orfeo que permite ejecutar comandos localmente por un usuario no autorizado. Este exploit re-escribe los nombres de la Tabla de Dependencias para ejecutar repetidamente un código malicioso colocado en la bodega de documentos. A continuación describimos algunas acciones que pueden ayudar a solucionar esta vulnerabilidad en el sistema:

¿Qué aspectos son vulnerables? 

  • Desde las versiones 3.7 hasta la 5.8 de Orfeo
  • Con PHP 5.4
  • Sin restricciones de listado o ejecución en la bodega
  • Archivos o directorios con permisos para el universo (777)

¿Cómo identificar si es víctima de este programa malicioso? 

  • En todos los sitios donde se desplieguen las dependencias, encontrarás basura y si miras con detalle es un llamado a i.js
  • Busca un archivo de javascript en la bodega  (en Linux    find /bodega -name i.js)
  • A veces puede quedar algún archivo php como: errror.php  (find /bodega -name «*.php» )

¿Cómo eliminarlo?

  • Realizando una restauración de un Backup de la Tabla de Dependencias. Afortunadamente es el único daño que hace el exploit.
  • Borrando el archivo i.js donde lo encuentres.

¿Cómo protegerse?

  • Revisando los permisos de sus fuentes de Orfeo. No deben pertenecer al usuario apache (www-data)
  • No deben existir directorios ni directorios con permisos lectura/escritura/ejecución ( 777 ) para todos.
  • Proteja desde apache el directorio de Orfeo y su bodega evitando listados y ejecución en la bodega.

Agregue a

/etc/httpd/conf.d/orfeo.conf   o /etc/apache2/conf-enable/orfeo.conf

****************** 
    Options FollowSymLinks MultiViews 
    Options -Indexes 
    AllowOverride None 
    Order allow,deny 
    allow from all 

    Options FollowSymLinks MultiViews 
    Options -Indexes 
    AllowOverride None 
    Order allow,deny 
    allow from all 
    <FilesMatch «(?i)\.(php|php3?|phtml|js|sh)$»> 
            Order Deny,Allow 
            Deny from All      

   php_admin_value engine Off  

*****************************

Por supuesto adapta esta configuración a tu instalación particular. 

En caso de necesitar soporte para solucionar esta vulnerabilidad no dude en contactarnos en Skinatech.com.