Software de Gestão de RH Senior expõe informações confidenciais

Software de Gestão de RH Senior expõe informações confidenciais de usuários. Uma brecha recentemente identificada no Rubiweb, software-as-service desenvolvido pela empresa brasileira Senior, permite que qualquer pessoa acesse informações sensíveis de seus clientes mesmo sem autenticar-se no sistema. A plataforma, categorizada como uma ferramenta de Human Capital Management (HCM ou gerenciamento de capital humano), permite que empresas de todos os portes realizem a gestão de seu quadro de funcionários e é utilizada por corporações de grande porte, conforme indicado em seu site oficial.

O invasor precisa apenas fornecer o URL correto.

CVE-2019-19550 descreve o problema como sendo desvio de autenticação remota no Senior  Rubiweb 6.2.34.28 e 6.2.34.37 que permite acesso de administrador a informações confidenciais dos usuários que estejam usando as versões vulneráveis. O invasor precisa apenas fornecer o URL correto.

O bug em questão foi encontrada pelos pesquisadores Mauricio Santos e Hesron Hori, ambos da firma de segurança UnderProtection, que compartilharam detalhes do incidente em primeira mão com o The Hack. O problema reside no fato que, ao utilizar um parâmetro específico na URL em que o software está instalado, é possível entrar no sistema com privilégios de administrador sem a necessidade de se autenticar na tela de login. O erro existe nas compilações 6.2.34.28 e 6.2.34.37 do Rubiweb.

A vulnerabilidade, de maneira resumida, explora uma falha na passagem de parâmetro simples da aplicação, que resulta em uma consulta não autenticada e diretamente com o usuário sendo utilizado pela aplicação para alcançar dados no banco de dados. Como em muitas das implementações, onde o usuário configurado para uso da aplicação é altamente privilegiado, diversos acessos são concedidos, piorando a situação”, explica Hesron.

Ou seja, além de não solicitar a autenticação necessária, o conjunto universo de dados expostos torna a falha perigosa em tempos de preocupação com a LGPD. Ninguém quer ter sua folha de pagamento exposta para toda a internet”, prossegue.

Fácil de explorar

De acordo com os especialistas, a Senior foi alertada sobre a falha (registrada sob o CVE 2019-19550) no dia 02 de dezembro de 2019, mas só foi divulgada no último dia 30 de janeiro. “A falha foi tratada pelo fabricante como uma falha de configuração da implantação. Várias companhias utilizam o sistema mas não o expõem para a internet, ou em outras portas, mas com algumas indexações e dorks é possível encontrar padrões de buscas”, complementa Hesron.

Seguindo os passos para exploração da falha, o The Hack encontrou, através de uma simples busca no Google, uma empresa utilizando uma versão vulnerável do Rubiweb — ao utilizar os parâmetros indicados pelos pesquisadores na URL de instalação da plataforma, confirmamos a facilidade de se adentrar no sistema para explorar dados sensíveis. Tivemos acesso a lista de colaboradores, calendário de férias, cálculos financeiros e relatórios diversos sem precisar informar um login e senha.

O GitHub coloca como prova de conceito as seguintes ações:

  1. Simplesmente tente conectar-se ao portal autenticado para confirmar a existência e a versão do produto afetado:
    1. hXXp://subdomain.customer.tld:8080/rubiweb/
  2. Acesse a página vulnerável (administrador sem autenticação): 
    1. hXXp://subdomain.customer.tld:8080/rubiweb/conector?ACAO=EXESENHA&SIS=FP&LOGINKIND=1
    2. hXXp://subdomain.customer.tld:8080/rubiweb/conector?ACAO=ENTRANCEREL&SIS=FP&NOME=FPIN103.ANU

Senior

Infelizmente, a Senior não disponibilizou qualquer tipo de atualização para corrigir o problema, limitando-se a publicar uma nota a respeito do assunto. Isso significa que os clientes que utilizam as compilações afetadas continuarão vulneráveis até que eles mesmo atualizem para uma edição mais recente ou apliquem as devidas configurações para minimizar o problema.

A Senior emitiu um comunicado oficial esclarecendo algumas questões a respeito do incidente. Confira na íntegra:

Sobre a reportagem do site The Hack de 10/Fev, a Senior esclarece que:

– fez uma avaliação técnica detalhada assim que foi informada pela empresa Under Protection, e não encontrou a referida vulnerabilidade no software. A vulnerabilidade era decorrente de uma configuração do ambiente do cliente que dava privilégios de administrador a um usuário padrão (anônimo);

– orientou o cliente a corrigir sua configuração de acesso, reforçou a documentação do sistema e as orientações aos times técnicos;

– divulgou nota a todos os clientes que possuem a referida versão do sistema, reforçando a orientação sobre a configuração adequada da solução e está entrando em contato para auxiliar na correta configuração;

– adicionalmente, liberou no dia 11/fev uma ferramenta que bloqueia qualquer tentativa de acesso de um usuário padrão (anônimo) que possua privilégio de administrador. Os clientes que estejam com as configurações em conformidade com a documentação não precisam baixar esta ferramenta, cuja função é evitar que uma configuração inadequada deixe o ambiente do cliente vulnerável.

A Senior reafirma seu compromisso constante com a segurança de seus softwares, sendo que realiza constantemente verificações de acordo com os padrões internacionais de mercado e implementa as melhorias sempre que necessário.

 

Fonte: The Hack & GitHub

 

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. FBI aponta perdas por Compromisso de eMail de US$ 1,7 bi em 2019
  2. Porque o Smartphone monitorar sua localização é um problema!
  3. Overview para Pen Test no Active Directory - Reconnaissance & Attack
  4. Signal - Sw de comunicação em massa com privacidade levada a sério

Deixe sua opinião!