MK-AUTH

Olá a todos, 

Nos últimos dias está tendo várias discussões em grupos sobre uma suposta vulnerabilidade no sistema permitindo acesso a dados e até msm inclusão de boletos aos nossos clientes, exposta pelo Mateus. 

Gostaria de uma posição do suporte, sobre o assunto, pois é de suma importância a nossa segurança de dados dos clientes. 

Exibições: 12519

As respostas para este tópico estão encerradas.

Respostas a este tópico

Uso Mk-Auth como tanto outros, é um ótimo sistema, porém essa questão de segurança preocupa bastante, li sobre isso ontem, li basicamente todos comentários e não sabendo o que fazer pra deixar o site normalmente na rede até ser solucionando, não tenho bastante conhecimento em rede e nem sei a que ponto isso protege, mas fiz as seguintes modificações:

* Portas 80 e 443 já deixo desativados por padrão;

* Tem regras de firewall, nada nesse mundo de redes é seguro, mas são bem configuradas pra rede em si, só não sei a que ponto essas regras protege o Mh-Auth dentro dessa rede instalado em uma maquina física com IP local atrás de 2 Mikrotiks;

* O Mikrotik tava desabilitado ja as portas 80 e 443 como disse, porém tinha uma regra direcionando um IP publico pra o Mk-Auth pra acessar fora da rede e também por conta do site e para receber arquivo de retorno de pagamentos;

* Uso domínio do Uol e obviamente lá eu apontava ele para o IP publico...

Tomando conhecimento dessa venerabilidade, DESATIVEI NO MIKROTIK A REGRA DE DIRECIONAMENTO DA PORTA 80 DO IP PUBLICO PRA O IP INTERNO, FUI NO UOL E DESATIVEI O APONTAMENTO, PAROU DE FUNCIONAR SITE FORA DA REDE COM O DOMINIO, PAROU DE RECEBER OS ARQUIVO DE RETORNO DE PAGAMENTOS. COMO PRECISO DESSES RETORNOS E O IP PADRÃO DO MK-ATH É DE UMA FAIXA INTERNA E PRIVADA, ACESSANDO NA REDE EXTERNA NAO LEVA A GENTE A LUGAR ALGUM PELO MENOS NAO AO MEU SITE, NEM SERVIDOR INTERNO, ENTÃO APONTEI NO UOL O DOMINIO PRA O IP PADRÃO DO MK-ATUH, FUI NO GATEWAY DE PAGAMENTO E SUBSTIRUIR A PARTE DO IP PUBLICO PELO DOMIMIO EM QUESTÃO E MESMO SEM TA COM A PORTA 80 ATIVADA NO MIKROTIK E SEM NENHUMA REGRA DE DIRECIONAMENTO A IP PUBLICO DENTRO DELE, E TAMBÉM COM AS PORTAS 80 E 443 DESATIVADAS EM TODOS MIKROTIK DA REDE, PASSEI A RECEBER ARQUIVO DE RETORNO NOVAMENTE. O SITE CONINUA LOCAL E ACESSA NORMAL PELO DOMINIO OU PELO IP PADRÃO SOMENTE LOCALMENTE, SE TENTAR ACESSAR O SITE DE UMA REDE EXTERNA NAO ACESSA, NEM SE TENTAR ACESSAR O LINK DO ARQUIVO DE RENTORNO, EXTERNAMENTE NAO ACESSA, E ESSA QUE ERA A INTENÇÃO, TIRAR O MK-AUTH DA REDE POREM CONTINUAR COM AS FUNÇÕES PELO MENOS INTERNAMENTE ATÉ CONSEGUIREM RESOLVER O PROBLEMA RELACIONADO AI A SEGURANÇA DO SISTEMA PARA VOLTAR A USAR NORMALMENTE, ESPERO QUE A VAQUINHA ALCANCE LOGO A META, PRA QUE ISSO SEJA RESOLVIDO. SE FIZ BESTEIRA AI AO FAZER ESSES PROCEDIMENTOS ME CORRIJAM, OBRIGADO!

Acredito que todas a medidas que tomamos já dificulta mas, porém só cai resolver quando for disponibilizado a correção;

Acho que já disse em tópicos anteriores mas devo dizer novamente:

- a url /admin deveria estar em porta diferente do hotsite e /central, melhor ainda se pudéssemos escolhe-la (podemos mudar as config no apache, porém quando atualiza, volta para o padrão).

- suporte nativo a SSL Let's Encrypt.

Não é mais facil fazer uma vpn no celular?

Renato de Oliveira disse:

Ficaria da seguinte forma
usando o firewall pra criar uma address list

/ip firewall raw
add action=drop chain=prerouting comment="==> Bloqueio portas utilizadas pelo MK-Auth exeto para lista Full_Access_Mkauth" disabled=yes dst-address="SEU_IP_PUBLICO_MKAUTH_OU_DA_RB_PRA_QUEM_UTILIZA_REDIRECIONAMENTO" dst-port=\
21-25,80,85,88,89,443,1812,1813,3799 protocol=tcp src-address-list=!Full_Access_Mkauth
add action=drop chain=prerouting comment="==> Bloqueio portas utilizadas pelo MK-Auth exeto para lista Full_Access_Mkauth" disabled=yes dst-address="SEU_IP_PUBLICO_MKAUTH_OU_DA_RB_PRA_QUEM_UTILIZA_REDIRECIONAMENTO" dst-port=\
21-25,80,85,88,89,443,1812,1813,3799 protocol=udp src-address-list=!Full_Access_Mkauth
add action=add-src-to-address-list address-list=Liberar_Acesso address-list-timeout=30s chain=prerouting comment=\
"==> Adiciona IP Origem Lista Liberar_Acesso por 30 segundos" dst-address="SEU_IP_PUBLICO_MKAUTH_OU_DA_RB_PRA_QUEM_UTILIZA_REDIRECIONAMENTO" dst-port=4999 protocol=tcp
add action=add-src-to-address-list address-list=Full_Access_Mkauth address-list-timeout=1d chain=prerouting comment=\
"==> Adiciona IP Origem Lista Full_Acess_Mkauth por 1 Dia" dst-address="SEU_IP_PUBLICO_MKAUTH_OU_DA_RB_PRA_QUEM_UTILIZA_REDIRECIONAMENTO" dst-port=4000 protocol=tcp src-address-list=Liberar_Acesso

Pra que usa mkauth com rdirecionamento de porta precisa alterar essa parte:
dst-port=21-25,80,85,88,89,443,1812,1813,3799
E deixar a porta que selecionou para mkuath

Onde esta SEU_IP_PUBLICO_MKAUTH_OU_DA_RB_PRA_QUEM_UTILIZA_REDIRECIONAMENTO:
Eh so colocar IP publico do mkauth ou da mikrotik

address-list=Full_Access_Mkauth:
Pode ser colocado todos IPs que devem ter acesso ao mkauth deixando alguns ja fixos e pegar ips do juno, gerencia net e colocar nessa lista.

address-list=Liberar_Acesso:
Essa vai ser automatico os IPs, tem um padrao exato pra seguir e coseguir liberar dessa lista os IPs.
Para cair dessa lista para a Full_Access_Mkauth precisa saber exato a seguencia de porta a ser testado,
dst-port=4999 protocol=tcp e dst-port=4000 protocol=tcp,
Primeiro teste tem que ser feito a porta 4999 colocando assmin o IP na lista Liberar_Acesso,
depois antes de 30 segundos precisa testar a porta 4000 pa entao liberar o Full_Access_Mkauth.

No linux fix um script pra testar as portas
No Android uso o APP Port Knocker, bem simples de configurar

Por enquanto eh a solucao que fiz pra nao liberar acesso a todos ao meu mkauth.

A regra tambem pode ser adptada pra forma que melhor atender, bloquear acesso total e assim vai.
So quem utiliza redirecionamento de porta que precisa tomar cuidado, esse caso precisa usar as portas do redirecionou para mkauth.

Quanta bobeira.

Pedro!

Se pronuncia contra isso. Não aceite. Deixa acontecer. Se é que vai acontecer algo. Não motive essa questão. Não estou acreditando nisso. 

Meu ponto de vista. 
Vulnerabilidade! Tem? sim. Todos.
Deixa pipocar, cadê alguém que foi roubado? Que foi afetado?

Outra questão do tópico:
 inclusão de boletos aos nossos clientes.

Deixa o "sabido" fazer isso. Vai deixar rastros. Pessoal relata ao Pedro, ou então abrimos um tópico sobre essa questão. E pega o sabidinho que acha que é tão fácil assim. simples.
Viram ai o caso do "Guerreiro", foi pego com coisas ate mais difícil.

Ae aparece um cara que achou uma vulnerabilidade, joga merda no ventilador, o povo pega pilha e da dinheiro a ele?


Devemos é apoiar o Pedro, o cara tem o proposito do sistema ser de graça.
Estão com medo atoa.
Não motivem esse tipo de situação.

Da em nada. 
Não conheço quem soltou a merda no ventilador, e nem quero julga-los.

Mas não vejo com bons olhos. Esta se queimando com bobeira.
E a primeira coisa que vem em mente é! "Aproveitadores".

Cara o sistema não é de graça!! apesar do valor ser irrisório, é um sistema pago e fechado. 

E não é bobeira, e tbm não acho que o cara seja aproveitador. 

O cara já mostrou para diversas pessoas , eu mesmo coloquei meu sistema a prova e ele invadiu, conseguiu mexer em tudo no meu sistema. Só uma observação, meu sistema estava atualizado na versão 20 quando ele realizou a invasão.

Ele apenas está valorizando o trabalho dele, tentou informar e ninguém deu atenção. 

Qualquer um que descobrisse  uma falha grave igual a essa estaria cobrando a correção, não tiro a razão. 

O próprio Pedro reconheceu e apoiou a vakinha .


Danilo Tomich disse:

Quanta bobeira.

Pedro!

Se pronuncia contra isso. Não aceite. Deixa acontecer. Se é que vai acontecer algo. Não motive essa questão. Não estou acreditando nisso. 

Meu ponto de vista. 
Vulnerabilidade! Tem? sim. Todos.
Deixa pipocar, cadê alguém que foi roubado? Que foi afetado?

Outra questão do tópico:
 inclusão de boletos aos nossos clientes.

Deixa o "sabido" fazer isso. Vai deixar rastros. Pessoal relata ao Pedro, ou então abrimos um tópico sobre essa questão. E pega o sabidinho que acha que é tão fácil assim. simples.
Viram ai o caso do "Guerreiro", foi pego com coisas ate mais difícil.

Ae aparece um cara que achou uma vulnerabilidade, joga merda no ventilador, o povo pega pilha e da dinheiro a ele?


Devemos é apoiar o Pedro, o cara tem o proposito do sistema ser de graça.
Estão com medo atoa.
Não motivem esse tipo de situação.

Da em nada. 
Não conheço quem soltou a merda no ventilador, e nem quero julga-los.

Mas não vejo com bons olhos. Esta se queimando com bobeira.
E a primeira coisa que vem em mente é! "Aproveitadores".

esse tem cara de ser comparsa!


Henrique Vasques disse:

Cara o sistema não é de graça!! apesar do valor ser irrisório, é um sistema pago e fechado. 

E não é bobeira, e tbm não acho que o cara seja aproveitador. 

O cara já mostrou para diversas pessoas , eu mesmo coloquei meu sistema a prova e ele invadiu, conseguiu mexer em tudo no meu sistema. Só uma observação, meu sistema estava atualizado na versão 20 quando ele realizou a invasão.

Ele apenas está valorizando o trabalho dele, tentou informar e ninguém deu atenção. 

Qualquer um que descobrisse  uma falha grave igual a essa estaria cobrando a correção, não tiro a razão. 

O próprio Pedro reconheceu e apoiou a vakinha.

131.196.6.155  

Engraçado, critica + o mk-auth está rodando apenas na intranet...

Isaque Brumel da Silva disse:

esse tem cara de ser comparsa!

Já  NÃO tenha mais paciência com esses cara que fala coisa sem saber. 

A Falha existe e já foi evidênciada para vários donos de provedores,  os de bom senso estão apoiando para que juntos consigamos pegar o scripts de correção,  agora vem uns "inteligentes" desavisados que creio que nem dono de provedor é,  falando coisa que não sabe, e só piora para nossa solução..

não sou "comparsa" só quero a solução!!

Lamentável isso!!

o cara achou o problema, sabe como corrigir só está tentando ajudar, muitos estão chamando de extorsão e tudo mais, vai la estude e depois vem falar merda.... 

pessoal ainda não se deu conta que até o pedro já esta ajudando. 

pessoal estão esperando dar uma merda pra depois culpar o pedro.

quando o servidor de alguém for invadido vai aparecer gente pra processar o dono do sistema....

Lei Geral de Proteção de Dados Pessoais (LGPD). 

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Vou tentar olhar esse problema aqui no meu sistema, ainda não tinha parado para verificar, se  encontrar algo eu posto a solução.

Sei lá. Não gosto muito de pagar para terceiros ajustar um sistema que uso e ainda possui suporte para fazer determinado serviço, só para não me atacar isso é uma escolha minha.

O Pedro ajudou talvez pela razão de não possuir tempo disponível para tal correção logo realmente nesse caso é mais fácil uma ajuda externa.

Mas não tiro o mérito de quem pagou.

Eu fico muito preocupado não apenas com essa questão mas o analista que encontrou essa falha pode saber de outras e nesse caso iria virar uma bola de neve sendo sempre necessário realizar um pagamento para correção, por isso não gosto muito de ficar ajudando.

Vale lembrar que o sistema do Pedro hoje custa 85 reais, ou seja ele teria que fazer 118 vendas praticamente para pagar o que o profissional está pedindo, preço solicitado muito alto perto do preço inicial do software.

Pedro uma dica, já que tem alguns que preferem um atendimento VIP e ajustes para evitar esse tipo de problema, você poderia fazer um plano VIP onde o valor mensal pago você iria reverter para pagar um profissional que você conhece e sabe que é bom para trabalhar corrigindo e atendendo as solicitações, como estamos em época de crise, tem muita gente ai no mercado precisando de trabalho.

Entendo que talvez  voc^^e não faça pois o seu produto poderia ser roubado 'código fonte' mas nada que um contrato não resolva ainda mais que o MKAUTH já é um produto que 100 % dos provedores conhecem como referência, então o público você  já tem.

Esse tal de Henrique Vasques não existia antes desse tópico, nunca vi mais ativo do que qualquer outra coisa sem contar que cada post dele é em defesa do descobridor do BUG.

Eis a questão é a mesma pessoa ou será que realmente existe ? só uma dúvida mesmo.
__________________________________________________________________________

bem continuando, estava olhando e verificando alguns itens já informado.

Central do cliente logado

RECIBO (/central/recibo.php?titulo=001500)

Recibo parece ainda ser possível tentar encontrar um recibo válido e caso não encontre abre se o recibo default.

basta ficar alterando o número.

sugestão
Obs1.: Vincular Recibo ao usuário onde só esse usu pode abrir.

Obs2.: para evitar tentativa e erro de encontrar o recibo, adicionar um limite de tentativas.

ALERTA (central/prepara_carne.php?carne=0001)

É possível buscar o Carne de outra pessoa, talvez um gerador de número aleatório pois o número pode variar mas resumindo parece que hoje não existe verificação para vê se o cliente que está abrindo realmente é dono desse carne o que pode levar a vazamento de informação como Endereço / CEP / NOME PESSSOAL e outras informações...

Como o BOLETO utiliza um código maior passa ser mais difícil encontrar porém ocorre o mesmo caso acima, um cliente consegue abri o boleto de outro cliente não está atrelado ao cliente

sugestão

Obs1.: Vincular CARNE ao usuário onde só esse usu pode abrir.

Obs2.: para evitar tentativa e erro de encontrar o CARNE , adicionar um limite de tentativas.

ALERTA(central/suporte.php?page=mensagens&chamado=001) PERIGOSO

Cliente logado pode digitar um número de um chamado  ou ficar tentando números aleatórios e consegue vê o chamado de outro cliente, O PIOR de tudo ele consegue também interagir nesse chamado enviando msg.

sugestão

Obs1.: Vincular O CHAMADO ao usuário onde só esse usu pode abrir.

FALHA CRITICA

Um Cliente logado consegue atualizar o dado de outro cliente.

Basta ele inspecionar a página com F12 e encontrar o botão 'SALVAR' após isso basta ele alterar o UUID para de qualquer outro usuário e a mágica acontece. -Lembrando que o UUID pode ser obtido de outras formas que desconheço ou por tentativa  e erro.

<div class="form-footer"><div class="form-footer"> <div class="form-group"> <div class="col-md-9 col-md-offset-3"> <button type="submit" class="btn btn-primary btn-sm"> <span class="glyphicon glyphicon-floppy-disk" aria-hidden="true"></span> Salvar </button> <input type="hidden" name="uuid_cliente" id="uuid_cliente" value="ALTERE AQUI COM O UUID QUE QUEIRA MODIFICAR"> </div> </div> </div>

sugestão

Obs.: Solução, realizar uma analise no UUID para garantir que esse é o mesmo localizado no cookie do usuário logado.

Obs2.: para evitar tentativa e erro de encontrar o UUID, adicionar um limite de tentativas.

CENTRAL DO CLIENTE FOTO.

Na central existe um flash player para tirar foto, isso não funciona mais na maioria dos navegadores devido ao fato de flash player possuir falha de segurança.

Sugestão para contornar o problema de alteração de boleto.

Deveria existir um código tipo HASH entre GERENCIA NET e armazenado em algum lugar, nesse momento um cron ou outra coisa deveria submeter um pedido de hash para o GERENCIA e validar o documento para verificar se o hash seria o mesmo, caso contrário deveria emitir um alerta para o ADM.


vou continuar verificando para vê se encontro mais alguma coisa, acredito que nos scripts tenha alguma falha

RSS

Links

© 2021   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço