Boa noite, caros usuários!
Meu nome é Joel e sou pesquisador de segurança, tenho vulnerabilidade divulgada em sites como o Hurb (antigo Hotel Urbano - https://www.hurb.com/sec-thanks.txt), Expedia, Le Biscuit, Zomato e entre outros, a VolareHost me contratou para analisar o problema que vem enfrentando no MK-Auth e foi constatado um problema de segurança que afeta a todos os MK-Auth (mesmo os que não são hospedados com a VolareHost) através de um arquivo.
* Vale lembrar que mesmo aqueles que tem MK-Auth apenas internamente se o acesso não tiver público não é possível explorar a vulnerabilidade.
Basicamente o arquivo faz com que seja possível enviar solicitações para outro servidor, sendo assim criando uma botnet com o MK-Auth.
Este ataque afetou os servidores porque quem estava explorando fez com que fosse enviado milhões de solicitações para um servidor que ele determinou e isso causou esgotamento nos recursos do servidor, fazendo com que Apache e MySQL (MariaDB) parem de funcionar.
No momento não é possível que eu deixe uma solução aqui, já que algumas pessoas podem explorar da vulnerabilidade de quem ainda não viu o tópico, mas estou entrando em contato com o pessoal do MK-Auth para que eles possam lançar um patch de correção.
Caso possua alguma dúvida em relação ao problema, por favor, deixe nos comentários que adorarei ajuda-los.
Abraços,
Joel Emanoel.
Respostas
ATENÇÃO!!!
tem que ver a versão que ta sendo usada do mk-auth, pois foi ajeitada muitos bugs na versão mais nova.
Essa vulnerabilidade afeta as versões atuais.
Ramon Igo Da Silva disse:
manda no email do pedro que ele faz a correção ser for falha grave ele solta muito rapido como a outra
Joel Emanoel disse:
Bom dia.
Se poder me enviar um email com os problemas e as correções temporarias agradeço.
segue o email orionsuporte@hotmail.com
esse problema ta sendo resolvindo no host ou com o pedro?
essa falha foi avisada a um bom tempo atras e nem deram atençao só apos o caos de ontem que resolveram abrir o olho.. ta igual o pix muita gente querendo uma soluçao pra zerar essas taxas ou ao menos dminuir e niguem se manifesta ate o dia que aparecer uma soluçao em outra plataforma e sair todos do mkauth infelizmente ,,, mkauth e um sistema bom falta apenas um dono que queira crescer junto com os provedores
ser não manda email direto pra o pedro, nunca vai ser resolvindo nada, e sobre o pix ele não foi feito pra paga boleto e sim fazer transferências, e agora não vai vale muito a pena, pq depedendo do valor vai sair mais caro que o boleto.
gualter disse:
É claro que mandar e-mail ou DM para o Pedro irá resolver algo.
Segue print, o bug foi reporta a mais de 1 mês e não fizeram absolutamente nada.
http://prntscr.com/134lkdh
Ramon Igo Da Silva disse:
-
1
-
2
-
3
de 3 Próximo