Vulnerabilidade MK-Auth

Boa noite, caros usuários!


Meu nome é Joel e sou pesquisador de segurança, tenho vulnerabilidade divulgada em sites como o Hurb (antigo Hotel Urbano - https://www.hurb.com/sec-thanks.txt), Expedia, Le Biscuit, Zomato e entre outros, a VolareHost me contratou para analisar o problema que vem enfrentando no MK-Auth e foi constatado um problema de segurança que afeta a todos os MK-Auth (mesmo os que não são hospedados com a VolareHost) através de um arquivo.
* Vale lembrar que mesmo aqueles que tem MK-Auth apenas internamente se o acesso não tiver público não é possível explorar a vulnerabilidade.

Basicamente o arquivo faz com que seja possível enviar solicitações para outro servidor, sendo assim criando uma botnet com o MK-Auth.


Este ataque afetou os servidores porque quem estava explorando fez com que fosse enviado milhões de solicitações para um servidor que ele determinou e isso causou esgotamento nos recursos do servidor, fazendo com que Apache e MySQL (MariaDB) parem de funcionar.

No momento não é possível que eu deixe uma solução aqui, já que algumas pessoas podem explorar da vulnerabilidade de quem ainda não viu o tópico, mas estou entrando em contato com o pessoal do MK-Auth para que eles possam lançar um patch de correção.

Caso possua alguma dúvida em relação ao problema, por favor, deixe nos comentários que adorarei ajuda-los.

Abraços,
Joel Emanoel.

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • ATENÇÃO!!!

  • tem que ver a versão que ta sendo usada do mk-auth, pois foi ajeitada muitos bugs na versão mais nova.

  • Essa vulnerabilidade afeta as versões atuais.

    Ramon Igo Da Silva disse:

    tem que ver a versão que ta sendo usada do mk-auth, pois foi ajeitada muitos bugs na versão mais nova.

  • manda no email do pedro que ele faz a correção ser for falha grave ele solta muito rapido como a outra

    Joel Emanoel disse:

    Essa vulnerabilidade afeta as versões atuais.

    Ramon Igo Da Silva disse:

    tem que ver a versão que ta sendo usada do mk-auth, pois foi ajeitada muitos bugs na versão mais nova.

  • Bom dia.

    Se poder me enviar um email com os problemas e as correções temporarias agradeço.

    segue o email orionsuporte@hotmail.com

  • Continuo sem.acesso ao servidor .
  • esse problema ta sendo resolvindo no host ou com o pedro?

  • essa falha foi avisada a um bom tempo atras e nem deram atençao só apos o caos de ontem que resolveram abrir o olho.. ta igual o pix muita gente querendo uma soluçao pra zerar essas taxas ou ao menos dminuir e niguem se manifesta ate o dia que aparecer uma soluçao em outra plataforma e sair todos do mkauth infelizmente ,,, mkauth e um sistema bom falta apenas um dono que queira crescer junto com os provedores

  • ser não manda email direto pra o pedro, nunca vai ser resolvindo nada, e sobre o pix ele não foi feito pra paga boleto e sim fazer transferências, e agora não vai vale muito a pena, pq depedendo do valor vai sair mais caro que o boleto.

    gualter disse:

    essa falha foi avisada a um bom tempo atras e nem deram atençao só apos o caos de ontem que resolveram abrir o olho.. ta igual o pix muita gente querendo uma soluçao pra zerar essas taxas ou ao menos dminuir e niguem se manifesta ate o dia que aparecer uma soluçao em outra plataforma e sair todos do mkauth infelizmente ,,, mkauth e um sistema bom falta apenas um dono que queira crescer junto com os provedores

  • É claro que mandar e-mail ou DM para o Pedro irá resolver algo.

    Segue print, o bug foi reporta a mais de 1 mês e não fizeram absolutamente nada.

    http://prntscr.com/134lkdh

    Ramon Igo Da Silva disse:

    ser não manda email direto pra o pedro, nunca vai ser resolvindo nada, e sobre o pix ele não foi feito pra paga boleto e sim fazer transferências, e agora não vai vale muito a pena, pq depedendo do valor vai sair mais caro que o boleto.

    gualter disse:

    essa falha foi avisada a um bom tempo atras e nem deram atençao só apos o caos de ontem que resolveram abrir o olho.. ta igual o pix muita gente querendo uma soluçao pra zerar essas taxas ou ao menos dminuir e niguem se manifesta ate o dia que aparecer uma soluçao em outra plataforma e sair todos do mkauth infelizmente ,,, mkauth e um sistema bom falta apenas um dono que queira crescer junto com os provedores

This reply was deleted.