Gracias a reporte del CSIRT EPN conocemos que implementaciones del sistema de gestión documental Quipux que se basan en los repositorios de minka son vulnerables a lectura arbitraria de archivos y RCE debido al componente DOMPDF versión 0.6.0 o inferior.
URL de minka con el componente vulnerable:
https://minka.gob.ec/subgobelectro/Quipux/blob/master/Quipux/quipux_comunidad_v4/quipux/js/dompdf/dompdf.php
En las siguientes URL se explica cómo explotar la vulnerabilidad. Por la fecha del CVE, ha estado presente desde el 2014:
https://www.exploit-db.com/exploits/33004
https://regilero.github.io/security/english/2016/12/19/security_dompdf_rce/
Para probar la vulnerabilidad en un sitio se puede usar el siguiente exploit:
http(s)://SUSITIOQUIPUX/js/dompdf/dompdf.php?input_file=/etc/passwd
Sustituya SUSITIOQUIPUX por el nombre de su sitio quipux, ej: «quipux.institucion.edu.ec» (sin comillas)
En base a conversación sostenida con CSIRT EPN sugerimos:
1- Ubicar el servicio de Quipux detrás de un WAF. Puede contactar a NOC de CEDIA para coordinar el proceso para poner el sitio de Quipux detrás del WAF
2- Actualizar dompdf a la versión 0.6.1
3- Comunicarse con la entidad responsable para conocer sobre el proceso de obtener una versión actualizada de Quipux. https://www.gobiernoelectronico.gob.ec/proceso-de-implantacion-quipux/
Sugerimos una revisión completa del sistema Quipux en vista de que pueden existir otros componentes que requieran actualización.
Cualquier duda, estamos gustosos de apoyarles
Agradecemos el informe de Edison Jiménez del CSIRT EPN https://www.csirt-epn.edu.ec/
Actualización al 2021-01-05
Hemos recibido de una de nuestras Universidades miembro un aviso de incidente y que notificamos ayer enseguida a los contactos
técnicos registrados en nuestro sistema Yari.
Se trata de un incidente en el que se reporta que se aprovecharon vulnerabilidades conocidas en el componente AdoDB que usa Quipux.
Hemos notificado al personal involucradas en el proyecto Quipux, esperando que puedan aplicar una medida correctiva. Sin embargo, por lo expuesto en este artículo, los problemas de seguridad que tiene Quipux pueden tomar un tiempo en solventarse.
Mientras tanto, se sugiere, además de lo ya expuesto:
- Que nos reporten si tienen una instancia particular de Quipux y que esté detrás de nuestro WAF y de ser así, nos indiquen la
URL exacta del mismo, por ejemplo:
- https://quipux.universidad.edu.ec/
- https://docs.universidad.edu.ec/quipux
- etc.
- De no ser así, pueden:
a. Si usan la instancia central de Quipux, solicitar el apoyo a la entidad respectiva encargada del servicio.
b. Si usan una instancia particular que no esté destrás de nuestro WAF, aplicar una regla que impida el acceso al directorio /adodb (y otros más) de la aplicación. Esto se puede hacer en el firewall (si lo permite) y/o en el servidor web con un archivo como /etc/httpd/conf.d/nodir.conf (ejemplo para Apache) con el siguiente contenido:
<DirectoryMatch "bodega|adodb|backup"><FilesMatch "(?i)\.(php|php3?|phtml|js)$">Order Deny,AllowDeny from All</FilesMatch></DirectoryMatch>
c. Si usan una instancia particular de Quipux, también se sugiere de ser posible, mantener el acceso únicamente desde la red interna y/o vía VPN para acceso desde fuera de la LAN.
Actualización al 2020-07-31
De mintel nos informan que se ha realizado una actualización al Quipux en base a este reporte. La actualización está disponible en:
https://minka.gob.ec/quipux-comunitario/quipux-comunitario
Se elimina la carpeta dompdf Realizar las siguientes acciones. los archivos modificados pueden bajarse de la rama mencionada. reemplazar: plantillas/CodigoBarras.php borrar: plantillas/GenerarDocumento.php reemplazar: plantillas/Sobres.php reemplazar: uploadFiles/cargar_doc_digitalizado_paginador.php
Agradecemos comunicación de la Dirección nacional de provisión de servicios electrónicos del Mintel
