Uma brecha recentemente identificada no Rubiweb, software-as-service desenvolvido pela empresa brasileira Senior, permite que qualquer pessoa acesse informações sensíveis de seus clientes mesmo sem autenticar-se no sistema. A plataforma, categorizada como uma ferramenta de Human Capital Management (HCM ou gerenciamento de capital humano), permite que empresas de todos os portes realizem a gestão de seu quadro de funcionários e é utilizada por corporações de grande porte, conforme indicado em seu site oficial.
O bug em questão foi encontrada pelos pesquisadores Mauricio Santos e Hesron Hori, ambos da firma de segurança UnderProtection, que compartilharam detalhes do incidente em primeira mão com a The Hack. O problema reside no fato que, ao utilizar um parâmetro específico na URL em que o software está instalado, é possível entrar no sistema com privilégios de administrador sem a necessidade de se autenticar na tela de login. O erro existe nas compilações 6.2.34.28 e 6.2.34.37 do Rubiweb.
“A vulnerabilidade, de maneira resumida, explora uma falha na passagem de parâmetro simples da aplicação, que resulta em uma consulta não autenticada e diretamente com o usuário sendo utilizado pela aplicação para alcançar dados no banco de dados. Como em muitas das implementações, onde o usuário configurado para uso da aplicação é altamente privilegiado, diversos acessos são concedidos, piorando a situação”, explica Hesron.
“Ou seja, além de não solicitar a autenticação necessária, o conjunto universo de dados expostos torna a falha perigosa em tempos de preocupação com a LGPD. Ninguém quer ter sua folha de pagamento exposta para toda a internet”, prossegue.
Fácil de explorar
De acordo com os especialistas, a Senior foi alertada sobre a falha (registrada sob o CVE 2019-19550) no dia 02 de dezembro de 2019, mas só foi divulgada no último dia 30 de janeiro. “A falha foi tratada pelo fabricante como uma falha de configuração da implantação. Várias companhias utilizam o sistema mas não o expõem para a internet, ou em outras portas, mas com algumas indexações e dorks é possível encontrar padrões de buscas”, complementa Hesron.
Seguindo os passos para exploração da falha, conseguimos encontrar, através de uma simples busca no Google, uma empresa utilizando uma versão vulnerável do Rubiweb — ao utilizar os parâmetros indicados pelos pesquisadores na URL de instalação da plataforma, confirmamos a facilidade de se adentrar no sistema para explorar dados sensíveis. Tivemos acesso a lista de colaboradores, calendário de férias, cálculos financeiros e relatórios diversos sem precisar informar um login e senha.
Para resguardar a segurança de seus dados, a The Hack não divulgará o nome da corporação afetada.
Infelizmente, a Senior não disponibilizou qualquer tipo de atualização para corrigir o problema, limitando-se a publicar uma nota a respeito do assunto. Isso significa que os clientes que utilizam as compilações afetadas continuarão vulneráveis até que eles mesmo atualizem para uma edição mais recente ou apliquem as devidas configurações para minimizar o problema (como “esconder” sua instalação do Rubiweb de forma que a URL de acesso não seja indexado pelos motores de busca).
A The Hack entrou em contato com a Senior para obter maiores esclarecimentos sobre o incidente, mas não obteve respostas até o fechamento desta reportagem.
FONTE: THE HACK