O Sistema Eletrônico de Informações (SEI), software desenvolvido pelo Tribunal Regional Federal da 4ª Região (TRF4) e hoje implantado em órgãos de todos os níveis de governo do Brasil – de Prefeituras a Ministérios – abriu vulnerabilidades graves nos servidores onde está funcionando. Os indícios foram publicados hoje na Internet por alguém que se identificou como ‘H0pperinnc’ – a mesma pessoa que dois dias atrás publicou dados vazados do Fundo Nacional de Desenvolvimento da Educação (FNDE) e do MEC. Segundo H0PPERINNC, a vulnerabilidade permite a execução remota de programas e código (RCE), assim com a gravação de qualquer arquivo que se deseje.
Com o título “VULNERABILIDADE #zeroday NO MÓDULO PESQUISA PÚBLICA DO SISTEMA SEI (Sistema Eletônico de Informações)”, o arquivo publicado no Pastebin.com contém 67 URLs construídas de modo que uma pessoa consiga acesso tanto para a execução de códigos quanto para a gravação de arquivos no servidor do órgão. O uso de qualquer dessas URLs faz com que seja criado um arquivo no servidor, sendo em seguida apresentado na tela para download e comprovando que um arquivo foi criado – o que não poderia estar acontecendo de modo algum. Com essa falha é possível obter arquivos de configuração do site, arquivos de conexão com banco de dados e outros de grande importância para o gerenciamento do servidor.
As provas de conceito foram geradas, por exemplo, nos endereços dos seguintes Ministérios:
- Fazenda
- Meio Ambiente
- Ciência, Tecnologia, Inovações e Comunicações
- Justiça
- Saúde
- Agricultura
- Cidades
- Indústria, Comércio Exterior e Serviços
- Agricultura Familiar e Desenvolvimento Agrário
[box type=”info” style=”rounded” border=”full”]O Sistema Eletrônico de Informações (SEI!) é classificado peo governo brasileiro como sistema de gestão de processos e de documentos eletrônicos. Ele é disponibilizado livremente para quaisquer órgãos, de qualquer nível governamental, por meio de um acordo de cooperação com o Ministério do Planejamento.[/box]
Também foram geradas URLs funcionais em servidores de órgãos como Correios e Biblioteca Nacional, universidades federais, secretarias estaduais e prefeituras. O uso de qualquer das URLs faz download de um arquivo exibindo dados que somente usuários privilegiados do servidor poderiam visualizar. Segundo informações obtidas pelo Ciso Advisor essa vulnerabilidade foi divulgada há cerca de dez dias, ou seja, por volta do dia 15, mas neste momento está disponível apenas em um endereço.
Há muito tempo os pesquisadores de segurança deixaram de avisar os órgãos do governo brasileiros sobre suas vulnerabilidades, por dois motivos: 1) os avisos são ignorados; 2) os pesquisadores são depois acusados de invasão e processados. Informações técnicas sobre esse tipo de problema e suas soluções podem ser encontrados em documentação do Infosec Institute:
https://preview.tinyurl.com/y9vepmee
https://tinyurl.com/y9vepmee
