MK-AUTH

Olá a todos, 

Nos últimos dias está tendo várias discussões em grupos sobre uma suposta vulnerabilidade no sistema permitindo acesso a dados e até msm inclusão de boletos aos nossos clientes, exposta pelo Mateus. 

Gostaria de uma posição do suporte, sobre o assunto, pois é de suma importância a nossa segurança de dados dos clientes. 

Exibições: 12519

As respostas para este tópico estão encerradas.

Respostas a este tópico

Eu não sou obrigado a viver interagindo no fórum , minha licença está aí ativa. Estou participando de vários grupos de telecom, auto ajuda mk-auth.

Quando o cara divulgou lá no grupo, imediatamente o procurei para obter mais informações, em questão de minutos o cara já veio me falando a quantidade de Clientes que eu tinha, logins cadastrados no sistema , além de me mandar print de várias abas do sistema . 

Desde então eu tô defendendo, se ele consegue acessar o meu ele acessa de qualquer um.

Tudo bem.

Complementando os itens que já reportei.

http://ip mkauth/admin/chave.pub

Essa chave não deveria ser bloqueada de ser visualizada por quem não é ADM  ? Qualquer um que colocar no navegador vai conseguir visualizar a chave. Eu sei que um mikrotik sem as configurações corretas podemos usar esse usuário com essa chave via SSH tanto rede interna como na externa e fazer qualquer coisa com o roteador, por gentileza Pedro me informe se eu estiver errado.

URL BOLETO PODE SER VERIFICADA APENAS TROCANDO O VALOR, SEM ESTÁ LOGADO

http://ip mkauth/boleto/20boleto.php?titulo=2000

Acredito que esse item assim como os outros que já informei na página 9 precisam se ajustados

O boleto abre por que vc deixou desmarcado a opção autenticação para vizualizar boleto. Muita gente usa para enviar URL para clientes 

Gabriel disse:

Tudo bem.

Complementando os itens que já reportei.

http://ip mkauth/admin/chave.pub

Essa chave não deveria ser bloqueada de ser visualizada por quem não é ADM  ? Qualquer um que colocar no navegador vai conseguir visualizar a chave. Eu sei que um mikrotik sem as configurações corretas podemos usar esse usuário com essa chave via SSH tanto rede interna como na externa e fazer qualquer coisa com o roteador, por gentileza Pedro me informe se eu estiver errado.

URL BOLETO PODE SER VERIFICADA APENAS TROCANDO O VALOR, SEM ESTÁ LOGADO

http://ip mkauth/boleto/20boleto.php?titulo=2000

Acredito que esse item assim como os outros que já informei na página 9 precisam se ajustados

e essa chave é a publica Gabriel, é preciso ter a privada que fica no /root do linux, sem as duas não funciona a comunicação entre os servidores amigo...

urglenio disse:

O boleto abre por que vc deixou desmarcado a opção autenticação para vizualizar boleto. Muita gente usa para enviar URL para clientes 

Gabriel disse:

Tudo bem.

Complementando os itens que já reportei.

http://ip mkauth/admin/chave.pub

Essa chave não deveria ser bloqueada de ser visualizada por quem não é ADM  ? Qualquer um que colocar no navegador vai conseguir visualizar a chave. Eu sei que um mikrotik sem as configurações corretas podemos usar esse usuário com essa chave via SSH tanto rede interna como na externa e fazer qualquer coisa com o roteador, por gentileza Pedro me informe se eu estiver errado.

URL BOLETO PODE SER VERIFICADA APENAS TROCANDO O VALOR, SEM ESTÁ LOGADO

http://ip mkauth/boleto/20boleto.php?titulo=2000

Acredito que esse item assim como os outros que já informei na página 9 precisam se ajustados

Blz, Pedro e Urglenio

É que fui fazendo vários testes acabei não percebendo essas regras de negócio.

Pedro,

a pasta http://IPMK/bckp/download.php?id= / http://IPMK/bckp/ deveria ser pública?

fiz alguns testes e é possível por tentativa e erro achar o arquivo.

O número das versões 18 / 19 e 20 é formado por:

2001D1203P409100.maz

2001 = VERSÃO DO MK (PODE SER 1801  / 1802 / 1900 /1901 / 2001)

D1203P = NÚMERO ALEATÓRIO QUE REPETE EM TODAS VERSÕES
409100 = NÚMERO QUE PARECE INSTALAÇÃO DO CLIENTE ALGO ASSIM E NÃO SE REPETE NAS INSTALAÇÕES, ESSE PODDERIA COLOCAR UM ROBO RODANDO CHAMADAS ATÉ ENCONTRAR O ARQUIVO .MAZ

Acho que isso é bem critico pois se o hack ou alguém com má intenção descobrir, ele pode baixar e depois restaurar no mk auth que vai conseguir visualizar todo BD inclusive com a senha de admin etc.. podendo ainda fazer como o tópico principal, mudar a conta e trocar boleto.



Pedro Filho disse:

e essa chave é a publica Gabriel, é preciso ter a privada que fica no /root do linux, sem as duas não funciona a comunicação entre os servidores amigo...

urglenio disse:

O boleto abre por que vc deixou desmarcado a opção autenticação para vizualizar boleto. Muita gente usa para enviar URL para clientes 

Gabriel disse:

Tudo bem.

Complementando os itens que já reportei.

http://ip mkauth/admin/chave.pub

Essa chave não deveria ser bloqueada de ser visualizada por quem não é ADM  ? Qualquer um que colocar no navegador vai conseguir visualizar a chave. Eu sei que um mikrotik sem as configurações corretas podemos usar esse usuário com essa chave via SSH tanto rede interna como na externa e fazer qualquer coisa com o roteador, por gentileza Pedro me informe se eu estiver errado.

URL BOLETO PODE SER VERIFICADA APENAS TROCANDO O VALOR, SEM ESTÁ LOGADO

http://ip mkauth/boleto/20boleto.php?titulo=2000

Acredito que esse item assim como os outros que já informei na página 9 precisam se ajustados

O Matheus informou que já passou a correção para  Pedro Filho ;

Obrigado por informar,

Pedro,

Por gentileza se puder verificar os meus reports tirando o que você respondeu pois acredito que também possui vulnerabilidade.

Se quiser eu abro um tópico com eles em resumo;

Abraços

Gabriel era isso mesmo a falha, o Matheus me passou um script que gerava os números e baixava o backup, vacilo meu em ter colocado essa pasta online, mais já corrigir o problema e está resolvido, é somente fazer um update para a versão 21.01 amigo...

Gabriel disse:

Blz, Pedro e Urglenio

É que fui fazendo vários testes acabei não percebendo essas regras de negócio.

Pedro,

a pasta http://IPMK/bckp/download.php?id= / http://IPMK/bckp/ deveria ser pública?

fiz alguns testes e é possível por tentativa e erro achar o arquivo.

O número das versões 18 / 19 e 20 é formado por:

2001D1203P409100.maz

2001 = VERSÃO DO MK (PODE SER 1801  / 1802 / 1900 /1901 / 2001)

D1203P = NÚMERO ALEATÓRIO QUE REPETE EM TODAS VERSÕES
409100 = NÚMERO QUE PARECE INSTALAÇÃO DO CLIENTE ALGO ASSIM E NÃO SE REPETE NAS INSTALAÇÕES, ESSE PODDERIA COLOCAR UM ROBO RODANDO CHAMADAS ATÉ ENCONTRAR O ARQUIVO .MAZ

Acho que isso é bem critico pois se o hack ou alguém com má intenção descobrir, ele pode baixar e depois restaurar no mk auth que vai conseguir visualizar todo BD inclusive com a senha de admin etc.. podendo ainda fazer como o tópico principal, mudar a conta e trocar boleto.

Quem quiser ainda ajudar na vakinha no Matheus não tem problema, o trabalho dele faz parte do negocio, depois irei ver um fundo apenas para recompensa de bugs como tem nas outras empresas.

...NENHUM SISTEMA É PERFEITO...

https://olhardigital.com.br/2021/02/06/noticias/google-pagou-mais-u...

https://canaltech.com.br/redes-sociais/pesquisador-recebe-a-maior-r...

RSS

Links

© 2021   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço