Uma brecha de configuração recentemente identificada no Rubiweb, software-as-service desenvolvido pela empresa brasileira Senior, permite que qualquer pessoa acesse informações sensíveis de seus clientes mesmo sem autenticar-se no sistema. A plataforma, categorizada como uma ferramenta de Human Capital Management (HCM ou gerenciamento de capital humano), permite que empresas realizem a gestão de seu quadro de funcionários e é utilizada por corporações de grande porte, conforme indicado em seu site oficial.
O bug em questão foi encontrada pelos pesquisadores Mauricio Santos e Hesron Hori, ambos da firma de segurança UnderProtection, que compartilharam detalhes do incidente em primeira mão com a The Hack. O problema reside no fato que, ao utilizar um parâmetro específico na URL em que o software está instalado, é possível entrar no sistema com privilégios de administrador sem a necessidade de se autenticar na tela de login. O erro existe nas compilações 6.2.34.28 e 6.2.34.37 do Rubiweb.
“A vulnerabilidade, de maneira resumida, explora uma falha na passagem de parâmetro simples da aplicação, que resulta em uma consulta não autenticada e diretamente com o usuário sendo utilizado pela aplicação para alcançar dados no banco de dados. Como em muitas das implementações, onde o usuário configurado para uso da aplicação é altamente privilegiado, diversos acessos são concedidos, piorando a situação”, explica Hesron.
“Ou seja, além de não solicitar a autenticação necessária, o conjunto universo de dados expostos torna a falha perigosa em tempos de preocupação com a LGPD. Ninguém quer ter sua folha de pagamento exposta para toda a internet”, prossegue.
Fácil de explorar
De acordo com os especialistas, a Senior foi alertada sobre a falha (registrada sob o CVE 2019-19550) no dia 02 de dezembro de 2019, mas só foi divulgada no último dia 30 de janeiro. “A falha foi tratada pelo fabricante como uma falha de configuração da implantação. Várias companhias utilizam o sistema mas não o expõem para a internet, ou em outras portas, mas com algumas indexações e dorks é possível encontrar padrões de buscas”, complementa Hesron.
Seguindo os passos para exploração da falha, conseguimos encontrar, através de uma simples busca no Google, uma empresa utilizando uma versão vulnerável do Rubiweb — ao utilizar os parâmetros indicados pelos pesquisadores na URL de instalação da plataforma, confirmamos a facilidade de se adentrar no sistema para explorar dados sensíveis. Tivemos acesso a lista de colaboradores, calendário de férias, cálculos financeiros e relatórios diversos sem precisar informar um login e senha.
Para resguardar a segurança de seus dados, a The Hack não divulgará o nome da corporação afetada.
Infelizmente, a Senior não disponibilizou qualquer tipo de atualização para corrigir o problema, limitando-se a publicar uma nota a respeito do assunto. Isso significa que os clientes que utilizam as compilações afetadas continuarão vulneráveis até que eles mesmo atualizem para uma edição mais recente ou apliquem as devidas configurações para minimizar o problema.
A The Hack entrou em contato com a Senior para obter maiores esclarecimentos sobre o incidente, mas não obteve respostas até o fechamento desta reportagem.
Atualização: dia 11/02, às 12h37
A Senior emitiu um comunicado oficial esclarecendo algumas questões a respeito do incidente. Confira na íntegra:
Sobre a reportagem do site The Hack de 10/Fev, a Senior esclarece que:
- fez uma avaliação técnica detalhada assim que foi informada pela empresa Under Protection, e não encontrou a referida vulnerabilidade no software. A vulnerabilidade era decorrente de uma configuração do ambiente do cliente que dava privilégios de administrador a um usuário padrão (anônimo);
- orientou o cliente a corrigir sua configuração de acesso, reforçou a documentação do sistema e as orientações aos times técnicos;
- divulgou nota a todos os clientes que possuem a referida versão do sistema, reforçando a orientação sobre a configuração adequada da solução e está entrando em contato para auxiliar na correta configuração;
- adicionalmente, liberou no dia 11/fev uma ferramenta que bloqueia qualquer tentativa de acesso de um usuário padrão (anônimo) que possua privilégio de administrador. Os clientes que estejam com as configurações em conformidade com a documentação não precisam baixar esta ferramenta, cuja função é evitar que uma configuração inadequada deixe o ambiente do cliente vulnerável.
A Senior reafirma seu compromisso constante com a segurança de seus softwares, sendo que realiza constantemente verificações de acordo com os padrões internacionais de mercado e implementa as melhorias sempre que necessário.
- Leia mais notícias sobre Vulnerabilidades.