Recomendações - Vulnerabilidades do ERP Datasul

Realizamos testes internos e, apesar de não termos encontrado formas de invasão (nos navegadores mais recentes) por conta de não conter o atributo "auto-complete" nos campos de senha, iremos reforçar a segurança do programa "changePassword" colocando o atributo "auto-complete=new-password" nos campos que utilizam senha.

Iremos nos basear na referência encontrada no link https://developer.mozilla.org/en-US/docs/Web/HTML/Attributes/autocomplete.

Há Issue interna tratando essa questão, será liberada nas próximas atualizações.

Estamos em constante monitoramento das vulnerabilidades quanto as versões desatualizadas de bibliotecas, com ações de atualização das bibliotecas de terceiros quando estas vulnerabilidades se tornam críticas (exposição pública de um possível ponto de ataque).

Em cada nova release do ERP Datasul, nós efetuamos homologações com a última versão do Tomcat 9. Consulte o link: https://tdn.totvs.com/pages/releaseview.action?pageId=645691744 para mais informações quanto as versões.

Está em nosso roadmap a homologação do produto com o Tomcat 10

Quando não houver um policy definido, o valor padrão é strict-origin-when-cross-origin, onde já atenderia o requisito. Caso seja exibido este alerta, verifique se o navegador e o servidor de aplicação Web estão corretamente atualizado para as versões homologadas.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

A configuração de um proxy reverso não se caracterizaria uma vulnerabilidade no ERP Datasul. Nós até recomendamos sua utilização caso tenha a necessidade de expor o ERP para acesso externo, pois assim o Tomcat estaria mais seguro.

Atualmente as configurações do proxy reverso que recomendamos podem ser visualizadas no link: https://centraldeatendimento.totvs.com/hc/pt-br/articles/360046255573-Framework-Linha-Datasul-TEC-Configura%C3%A7%C3%A3o-de-Proxy-Reverso-para-o-Datasul-for-THF-utilizando-Apache

O proxy reverso também pode ser configurado com um protocolo HTTPS, acesse o link para mais informações: https://centraldeatendimento.totvs.com/hc/pt-br/articles/360045679694-DS-THF-Configura%C3%A7%C3%A3o-de-HTTPS-para-o-Datasul-for-THF-utilizando-Apache

O Microsoft IIS pode ser configurado para remover cabeçalhos indesejados da resposta HTTP. Consulte o link para obter mais informações.

https://learn.microsoft.com/pt-pt/archive/blogs/varunm/remove-unwanted-http-response-headers

Para evitar a exposição da versão do ASP.NET, precisar ser editado o arquivo “web.config”, que normalmente está em: C:\Windows\Microsoft.NET\Framework\<VERSION>\Config\web.config

* Substitua a tag <VERSION> pelo versão do ASP.NET instalado no servidor. 

Deve ser adicionada a tag abaixo:

<System.Web>
      <httpRuntime enableVersionHeader="false" />
</System.Web>

* Caso não se obtenha sucesso na remoção, consulte o link: https://learn.microsoft.com/pt-pt/archive/blogs/varunm/remove-unwanted-http-response-headers para verificar mais alternativas.

A recomendação para melhorar a segurança é inserir o atributo Content-Security-Policy na Header para restringir possíveis ataques de Cross Site Scripting, porém o ERP Datasul ainda não está preparado para um atributo mais restritivo na carga das páginas.

Esta em nosso roadmap a inclusão deste atributo de segurança.

O redirecionamento das URLs após efetuado o login é necessário para que os portais utilizem a mesma engine de login do ERP Datasul, por este motivo não é possível remove-lo da arquitetura DTS4THF.

Foi desenvolvido uma rotina para sanar a vulnerabilidade e permitir o redirecionamento apenas para as URL's definidas pelo usuário.

Para configuração, deve-se verificar a documentação contida em Redirecionamento de Login (propriedades-segurança).

Através da manipulação dos parâmetros da requisição aos paths /dts/datasulrest/resources/prg/fwk/v1/menuPrograms/list e /totvs-menu/rest/documents/upload/ foi possível induzir a aplicação a retornar erros, que por serem muito descritivos revelam componentes utilizados na aplicação.

Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2320, liberada a partir da release 12.1.2407 e planejados em expedição contínua para as versões: 12.1.2403.3, 12.1.2311.9 e 12.1.2307.14.

Há alegações que a versão do JQuery (jquery-2.1.4.min.js) praticado pela Totvs estaria diferente da versão original e que isso poderia afetar consideravelmente a segurança e o nível de confiança no produto.

Foi efetuada a atualização da versão do JQuery para a 3.7.1 (DFWKDATASUL-1212), sendo expedida na release 12.1.2311.

• Application error messages
• Improper Error Handling

Reflected XSS

emailReminder

O parâmetro emailReminder apresentado na tela "Esqueci minha senha" possui formatações para campo de e-mail, consequentemente o risco de inserir códigos scripts é reduzido.

Com o intuito de reduzir ainda mais o risco de um possível ataque XSS, foram efetuados ajustes na Issue DFWKDATASUL-1209, liberada na release 12.1.2311.  

Atualmente para ter acesso as requisições, é necessário realizar uma autenticação prévia com usuário e senha do ERP Datasul dos quais, quando integradas com outros portais, utilizam Cookies para propagar a autenticação. Estamos com planejamentos de evolução e melhorias de segurança onde as requisições serão validadas por tokens.

Os navegadores mais atualizados já definem o atributo SameSite=Lax para restringir o uso do Cookie (e consequentemente evitar o CSRF). Caso houver a necessidade de integrar o ERP com outros portais, recomendamos que use o HTTPS, pois assim o Cookie atribuirá o parâmetro Secure

Estamos com planejamentos futuros para a validação de compatibilidade do protocolo HTTP/2 e tratamento de requisições POST, reduzindo assim a vulnerabilidade de CSD.

Identificados a partir da exposição de conteúdos sem relação com o ERP Datasul.

O conteúdo do webapps relacionado ao Apache Tomcat deve conter somente diretórios gerados a partir do deploy de arquivos .war disponibilizados por nossa expedição.

Quaisquer outros diretórios (exemplos: /docs, /examples, entre outros) devem ser removidos desta instância.  Caso houver a necessidade de incluir diretórios que não pertencem a nossa expedição (para monitoramentos por exemplo), fica de responsabilidade do cliente garantir a segurança de acesso dos mesmos.

Foi possível perceber que a aplicação tem como comportamento padrão a utilização do login do usuário como parte da composição para o diretório de destino ao  realizar upload de arquivos /totvs-menu/rest/documents/upload/. Fazendo uso de tais informações, foi possível realizar um ataque para enumeração de usuário permitindo a descoberta do usuário “rest”.

Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2319, liberada a partir da release 12.1.2407 e planejados em expedição contínua para as versões: 12.1.2403.3, 12.1.2311.9 e 12.1.2307.14.

Realmente, existe uma forma de invasão na tela de alteração de senha (changePassword) através do campo “Usuário”.

Iremos avaliar através de Issue interna as melhores práticas para contemplar a segurança da tela referenciada neste item.

Login Brute Force

(Ataques de força bruta no login da aplicação)

Para evitar constantes requisições no login do produto com a finalidade do descobrimento da senha, recomendamos que seja ativada a parametrização Tentativas mal sucedidas de login.

Esta parametrização pode ser utilizada em conjunto com o Minutos de bloqueio temporário de login caso opte pelo desbloqueio automático depois de alguns minutos.

Para mais informações de como efetuar a parametrização, consulte a documentação:  https://tdn.totvs.com/pages/releaseview.action?pageId=633336230

Path Traversal

Foi possível perceber que a funcionalidade de upload contida na URL /totvs-menu/rest/documents/upload/ permite ao usuário o acesso a diretórios não previstos pelo desenvolvedor através da técnica de Path Traversal.

Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2317, liberada a partir da release 12.1.2403 e dos patchs 12.1.2307.10 e 12.1.2311.4.

Improper Delete Feature

Por meio de análises na funcionalidade “Action Remove”, identificamos que através do endpoint "/totvs-menu/rest/documents/action/” é possível deletar os arquivos localizados no servidor web.

Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2318, liberada a partir da release 12.1.2403 e dos patchs 12.1.2307.12 e 12.1.2311.6.

CSRF Token Bypass

Durante as análises na aplicação, identificamos que ela utiliza token anti csrf. Porém, repetindo as requisições utilizando o mesmo token, foi possível perceber que não há uma verificação adequada deste controle, sendo possível replicar requisições sem o devido controle.

Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2316, liberada a partir da release 12.1.2407.

CVE-2019-17267

(jackson-databind-2.8.2)

Conforme link: https://access.redhat.com/security/cve/cve-2019-17267, os potenciais uso de exploração desta vulnerabilidade são:

Mitigation
The following conditions are needed for an exploit, we recommend avoiding all if possible

• Deserialization from sources you do not control
• `enableDefaultTyping()`
• `@JsonTypeInfo using `id.CLASS` or `id.MINIMAL_CLASS`

Apesar do arquivo jackson-databind-2.8.2.jar estar na versão que possui a vulnerabilidade, as mesmas não são exploraveis pois o produto não implementa o uso dos itens mencionados.

Contudo como o produto possui compatibilidade com a versão 2.15.2 (onde a vulnerabilidade não foi identificada), estamos com planejamento interno para a atualização desta biblioteca. 

Issue: https://jiraproducao.totvs.com.br/browse/DFWKDATASUL-1786

CVE-2023-20860

Security Bypass With Un-Prefixed Double Wildcard Pattern

O Spring Framework foi atualizado para a versão para a 5.3.30, sendo disponíveis a partir da release 12.1.2403 e em patch 12.1.2307.6 

https://spring.io/security/cve-2023-20860

Geração de cookie somente para o path "/"

Renomear cookie

OpenEdge Critical Alert: Arbitrary File Upload Vulnerability in WEB Transport

Security Issue and Potential Impact:
https://nvd.nist.gov/vuln/detail/CVE-2023-40051

OpenEdge Product Alert: Denial of Service Vulnerability in WEB Transport

Security Issue and Potential Impact:
https://www.cve.org/CVERecord?id=CVE-2023-40052

OpenEdge Critical Alert:

Third-party software used by OpenEdge that qualifies CVEs it deems to be “high” vulnerabilities based on scores in the CVSS 3.1 base score range of 7.0 through 8.9.

Security Issue, Potential Impact and Resolution: 

Qualifying vulnerabilities and affected components are listed on the left in this chart. The third-party version resolving each vulnerability is specified in the rightmost column.

Links:

https://community.progress.com/s/article/Important-Progress-OpenEdge-Third-Party-Product-Alert-Vulnerabilities-for-the-OpenEdge-LTS-Update-12-8-1

https://community.progress.com/s/article/Important-Progress-OpenEdge-Third-Party-Product-Alert-Vulnerabilities-for-the-OpenEdge-LTS-Update-12-2-14

https://community.progress.com/s/article/Important-Progress-OpenEdge-Third-Party-Product-Alert-Vulnerabilities-for-the-OpenEdge-LTS-Update-11-7-19

Atualizar para OpenEdge 12.2.14

Vulnerabilidades consideradas:

 Atualizar para OpenEdge 11.7.19

Vulnerabilidades consideradas:

OpenEdge Critical Alert: OpenEdge Authentication Gateway and AdminServer.

The Progress OpenEdge team recently identified a security vulnerability in OpenEdge Release 11.7.18 and earlier, OpenEdge 12.2.13 and earlier, and OpenEdge 12.8.0. 

Security Issue and Potential Impact: 

When the OpenEdge Authentication Gateway (OEAG) is configured with an OpenEdge Domain that uses the OS local authentication provider to grant user-id and password logins on operating platforms supported by active releases of OpenEdge, a vulnerability in the authentication routines may lead to unauthorized access on attempted logins.   
 

The AdminServer logins are always potentially vulnerable because they only support OS local logins.  The OEAG is only vulnerable when an administrator has configured an OpenEdge domain to use the OS local authentication provider.

Resolution:

All customers on all OpenEdge releases are recommended to upgrade to the latest OpenEdge version of an Active Release immediately, if possible.

Links:

https://community.progress.com/s/article/Important-Critical-Alert-for-OpenEdge-Authentication-Gateway-and-AdminServer?popup=true

https://www.cve.org/CVERecord?id=CVE-2024-1403

AdminServer
O AdminServer é requisito apenas no OE11.  Apenas se for utilizar as ferramentas OpenEdge Explorer ou Management para fazer a administração do PASOE, aí sim elas requerem que o AdminServer esteja ativo também no OE12.

OpenEdge Critical Alert: OpenEdge Explorer and OpenEdge Management.

The Progress OpenEdge team has identified a security vulnerability in OpenEdge Management (OEM) and OpenEdge Explorer (OEE) in versions Release 11.7 Updates through OE 11.7.18 and Release 12.2 Updates through OE 12.2.13.

Security Issue and Potential Impact: 

The ActiveMQ third party library version 5.15.11 contains a vulnerability described by CVE-2023-46604 which is used in the OpenEdge Explorer (OEE)/OpenEdge Management (OEM) product components of OpenEdge.

Resolution:

The impacted OpenEdge releases and the vulnerable library version(s) are listed in the left-side columns. The fixed OpenEdge releases and versions in which the vulnerability is resolved are listed in the right-side columns.  

Links:

https://community.progress.com/s/article/Important-Critical-Alert-in-OpenEdge-Explorer-and-OpenEdge-Management-Components?popup=true

https://nvd.nist.gov/vuln/detail/CVE-2023-46604