MK-AUTH

Olá a todos, 

Nos últimos dias está tendo várias discussões em grupos sobre uma suposta vulnerabilidade no sistema permitindo acesso a dados e até msm inclusão de boletos aos nossos clientes, exposta pelo Mateus. 

Gostaria de uma posição do suporte, sobre o assunto, pois é de suma importância a nossa segurança de dados dos clientes. 

Exibições: 10397

Responder agora

Respostas a este tópico

Vazar mais oq. Se o datasus e o serasa ja vazou tudo. Os dados de qualquer pessoa esta ai pra quem quiser, tem mais nem graça isso

Tayro Christian Borges disse:

Quanto acham que iram gastar com um processo? Em caso dos vazamento de dados? Vale mais doar que seja 50 reais do que pagar ums 10 mil ou mais em um processo. A falha existe e ja foi comprovado diversas vezes, deixar o sistema fora da internet resolve, pode ate ser, mas tem a possibilidade de vim o ataque interno? Claro que tem! Temos que pensar que é em prol comum de todos que utilizam o sistema! Já estão congitando em apenas liberar a correção somente para quem realizou a doação, independente do valor doado, pois percebemos que não a união nos que utilizam o sistema, ninguém sabe ao certo quantas pessoas ou empresas utilizam o sistema que é quase de graça! Lembrando que uma mensalidade de um sistema pago beira 4800,00 reais anual! 

E se alguem entrar la e alterar seus boletos ? ja pensou parar de cair na sua conta do nada.
ficaria contente em ter que ficar correndo atras de banco e processos pra tentar recuperar ?


urglenio disse:

Vazar mais oq. Se o datasus e o serasa ja vazou tudo. Os dados de qualquer pessoa esta ai pra quem quiser, tem mais nem graça isso

Tayro Christian Borges disse:

Quanto acham que iram gastar com um processo? Em caso dos vazamento de dados? Vale mais doar que seja 50 reais do que pagar ums 10 mil ou mais em um processo. A falha existe e ja foi comprovado diversas vezes, deixar o sistema fora da internet resolve, pode ate ser, mas tem a possibilidade de vim o ataque interno? Claro que tem! Temos que pensar que é em prol comum de todos que utilizam o sistema! Já estão congitando em apenas liberar a correção somente para quem realizou a doação, independente do valor doado, pois percebemos que não a união nos que utilizam o sistema, ninguém sabe ao certo quantas pessoas ou empresas utilizam o sistema que é quase de graça! Lembrando que uma mensalidade de um sistema pago beira 4800,00 reais anual! 

Vocês estão de sacanagem que vão pagar para esse cara aí consertar? Logo depois ele vem com outro bug e vai cobrar outro valor... vamos parar de ingenuidade quem precisa ajustar é  o Pedro.

Estou pensando em entrar  logo com uma ação contra esse cara aí por Extorsão.

Tem uma delegacia aqui perto de crimes digitais.

Hacker sempre faz isso.

Mostra as provas aí da extorsão!! 

Fique a vontade!! 

Apenas estou cobrando pelo meu conhecimento!!

O próprio Pedro doou 500 Reais para impulsionar as doações na vakinha.

Agora , mostre as provas. Falar até papagaio fala!!

Carlos disse:

Vocês estão de sacanagem que vão pagar para esse cara aí consertar? Logo depois ele vem com outro bug e vai cobrar outro valor... vamos parar de ingenuidade quem precisa ajustar é  o Pedro.

Estou pensando em entrar  logo com uma ação contra esse cara aí por Extorsão.

Tem uma delegacia aqui perto de crimes digitais.

Hacker sempre faz isso.

Minha humilde opinião, ele fecha a vaquinha e cobra para cada um o conserto das falhas individualmente, quis fazer para ajudar a todos e estão duvidando.

Quando começarem a não cair dinheiro na suas contas e irem para conta de alguém, como já tem gente fazendo isso, não reclamem.

Não adianta vir aqui falar que é culpa do Pedro, a falha foi descoberta e se o Pedro soubesse como consertar, ele já teria feito, uma pessoal achou a solução e deu oportunidade para resolver, só que cobrou seu valor. Isso acontece em vários sistema pelo mundo a fora. Muitos sistema pagam para isso, só não acho justo o Pedro vir aqui pagar isso já que nos compramos nossa licença cara pra cacete e neste anos todos não gastamos um centavo com o sistema.

Ai vão vir aqui e falar que Pedro ganha por boleto pago no Gerencianet e Juno, mais nos ganhamos também vários desconto neste gateway da vida quando falamos que usamos MK-Auth, ou não se lembram que cobravam R$ 3,99 ou ate  mais, quem é da antiga sabem.

Se eu fosse Pedro entrava em contato com o Matheus e negociava a solução e lançava a versão 5.0 do MK-Auth e colocava o preço de R$ 100,00.

Assim todos que quisesse a correção teriam que comprar a nova versão já que seria uma nova licença.

Foram identificadas 2 vulnerabilidades e registradas nos CVEs:

  • CVE-2021-3005 / Severidade 4 - MK-AUTH até 19.01 K4.9 permite que invasores remotos obtenham informações confidenciais (por exemplo, um número de CPF) por meio de um titulo modificado (também conhecido como número da fatura) pela URI central / recibo.php.
  • CVE-2021-21495 / Severidade 6.8 - MK-AUTH até 19.01 K4.9 permite CSRF¹ para alterações de senha por meio da URI central/executar_central.php?acao=altsenha_princ.
Lembrando que ano passado, para essa mesma versão, houveram divulgações de falhas de segurança. Saiba mais.

Essas já foram corrigidas pelo Pedro

Pedro Costa disse:

Foram identificadas 2 vulnerabilidades e registradas nos CVEs:

  • CVE-2021-3005 / Severidade 4 - MK-AUTH até 19.01 K4.9 permite que invasores remotos obtenham informações confidenciais (por exemplo, um número de CPF) por meio de um titulo modificado (também conhecido como número da fatura) pela URI central / recibo.php.
  • CVE-2021-21495 / Severidade 6.8 - MK-AUTH até 19.01 K4.9 permite CSRF¹ para alterações de senha por meio da URI central/executar_central.php?acao=altsenha_princ.
Lembrando que ano passado, para essa mesma versão, houveram divulgações de falhas de segurança. Saiba mais.

Leiam atentamente a CVE-2021-21495

https://gist.github.com/alacerda/98853283be6009e75b7d94968d50b88e

Essa CVE refere-se a central do assinante, onde o assinante precisa logar na central utilizando suas credenciais, e logo em seguida seria necessário acessar uma página "fake" (facilitar o entendido), para só aí o hacker conseguir realizar a troca da senha .. ou seja, essa CVE é meio nula !! 


Pedro Costa disse:

Foram identificadas 2 vulnerabilidades e registradas nos CVEs:

  • CVE-2021-3005 / Severidade 4 - MK-AUTH até 19.01 K4.9 permite que invasores remotos obtenham informações confidenciais (por exemplo, um número de CPF) por meio de um titulo modificado (também conhecido como número da fatura) pela URI central / recibo.php.
  • CVE-2021-21495 / Severidade 6.8 - MK-AUTH até 19.01 K4.9 permite CSRF¹ para alterações de senha por meio da URI central/executar_central.php?acao=altsenha_princ.
Lembrando que ano passado, para essa mesma versão, houveram divulgações de falhas de segurança. Saiba mais.

Uma dica que dou, se é necessário expor o mk-auth na internet para acesso e reduzir as chances de roubo de dados ou algo similar, opte por deixar ele com ip privado e use um proxy reverso para deixar o acesso web disponível. Aqui uso o uma máquina com o nginx instalado ele sendo a testa de ferro (ele quem fica o ip público e repassa as requisições WEB para o mk-auth), isso sem a necessidade de deixar uma porta direcionada para ele. Ainda é possível usar o Let's encrypt para deixar o acesso com HTTPS e certificado válido ao mk-auth.

Nesse cenário, ferramentas automatizadas que procuram na rede por hosts com vulnerabilidade, não devem detectar as vulnerabilidades do seu mk-auth (um exemplo é o resultado de uma consulta simples no shodan.io quando o ip público está no seu mk-auth e quando está em um proxy reverso).

Ainda existem soluções prontas e gratuitas para fazer o proxy reverso com filtros para alguns exploits.

Outra observação é manter a rede privada do seu mk-auth somente acessível para seu proxy reverso e não expor informações da versão do seu proxy reverso (server_tokens off;) além de manter ele atualizado com os patches de segurança e updates.

Nessas condições, as chances de ter algum problema devem ser minimizadas.

Não resolve a falha, continua vulnerável!! mais aumenta a segurança contra bots. 



Fábio José disse:

Uma dica que dou, se é necessário expor o mk-auth na internet para acesso e reduzir as chances de roubo de dados ou algo similar, opte por deixar ele com ip privado e use um proxy reverso para deixar o acesso web disponível. Aqui uso o uma máquina com o nginx instalado ele sendo a testa de ferro (ele quem fica o ip público e repassa as requisições WEB para o mk-auth), isso sem a necessidade de deixar uma porta direcionada para ele. Ainda é possível usar o Let's encrypt para deixar o acesso com HTTPS e certificado válido ao mk-auth.

Nesse cenário, ferramentas automatizadas que procuram na rede por hosts com vulnerabilidade, não devem detectar as vulnerabilidades do seu mk-auth (um exemplo é o resultado de uma consulta simples no shodan.io quando o ip público está no seu mk-auth e quando está em um proxy reverso).

Ainda existem soluções prontas e gratuitas para fazer o proxy reverso com filtros para alguns exploits.

Outra observação é manter a rede privada do seu mk-auth somente acessível para seu proxy reverso e não expor informações da versão do seu proxy reverso (server_tokens off;) além de manter ele atualizado com os patches de segurança e updates.

Nessas condições, as chances de ter algum problema devem ser minimizadas.

Olá pessoal , se utilizar o dns da cloudflare não resolve ?

Pelo informado não.

Responder à discussão

RSS

parcerias

© 2021   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço