Path traversal vulnerabilidade em subdominio da caixa

Vulnerabilidade permitia fazer o downloads não autorizados de arquivos no servidor.

Postado por @elber333 - 23/12/2017 - FireShell Security team
fireshellsecurity.team - MAIL: admin@fireshellsecurity.team

Path traversal em métodos de download da Caixa :

Path traversal é possível quando uma aplicação recebe parametros para a localização/acesso de arquivos que estão disponíveis dentro de diretórios restritos, mas que no entanto não são propriamente sanitizados, permitindo que o atacante acesse outros arquivos fora dos diretórios restritos. No caso da caixa, o método de download exposto em https://webp.caixa.gov.br/sicnl/download.asp permitia a manipulação dos parametros folder e file para acessar todo o sistema de arquivos, com isso, alguém poderia alterar os parametros na url para baixar todo o código fonte do site, arquivos contendo senhas do sistema, dentre outras informações sensíveis.

Esse tipo de ataque conhecido como Absolute Path Traversal.

A vulnerabilidade:

    O subdominio da Caixa **webp.caixa.gov.br** possui uma aplicação para download de alguns arquivos PDF, DOC, e entre outros, onde o arquivo download.asp recebe por parametros, o diretório onde o arquivo está **?folder=/pasta/**, e o arquivo em si **&file=arquivo.pdf** Assim que percebi o que a aplicação estava fazendo, decidi alterar os parametros ques estavam sendo solicitados para download. https://webp.caixa.gov.br/sicnl/download.asp?folder=/sicnl/&file=download.asp

    Agora a aplicação está configurada para baixar o arquivo download.asp do servidor.

    Vulnerabilidade confirmada, com isso, alguém poderia alterar parametros na url dando acesso a todo o código fonte do site, arquivos contendo senhas do sistema, dentre outras informações sensíveis.

    Correção

    Vulnerabilidade reportada em: 04/12/2017.

    Correção: 21/12/2017