Luka w OwnCloud o maksymalnej wadze 10 mieści się w kategorii „Masowe wykorzystanie” – Ars Technica

Badacze zajmujący się bezpieczeństwem śledzą, ich zdaniem, „masowe wykorzystanie” luki, która pozwala przejąć pełną kontrolę nad serwerami, na których działa ownCloud, powszechnie używana aplikacja serwerowa do udostępniania plików typu open source.

Według urzędników ownCloud luka, której maksymalny poziom istotności wynosi 10, umożliwia uzyskanie haseł i kluczy kryptograficznych, które umożliwiają kontrolę administracyjną nad podatnym serwerem poprzez wysłanie prostego żądania internetowego na statyczny adres URL. ostrzeżony zeszły tydzień. W ciągu czterech dni od ujawnienia informacji z 21 listopada badacze z firmy ochroniarskiej Greynoise powiedziałzaczęli obserwować „masową eksploatację” na swoich serwerach typu Honeypot, udając podatne na ataki serwery ownCloud, aby śledzić próby wykorzystania luki. Od tego czasu liczba adresów IP wysyłających żądania internetowe powoli rośnie. Zanim ten post pojawił się na Ars, osiągnął już 13.

Spryskaj internet

„Obserwujemy ataki na konkretny punkt końcowy, który ujawnia poufne informacje, co można uznać za wykorzystanie” – Glenn Thorpe, starszy dyrektor ds. badań nad bezpieczeństwem i inżynierii wykrywania w Greynoise, powiedział w wywiadzie na Mastodonie. „W tej chwili zaobserwowaliśmy, że 13 adresów IP trafiło w nasze niezapowiedziane czujniki, co sugeruje, że zasadniczo rozpowszechniają je w Internecie, aby zobaczyć, co trafią”.

CVE-2023-49103 występuje w wersjach 0.2.0 i 0.3.0 graphapi, aplikacji działającej w niektórych wdrożeniach ownCloud, w zależności od konfiguracji. Biblioteka kodów innej firmy używana przez aplikację udostępnia adres URL, który po uzyskaniu dostępu ujawnia szczegóły konfiguracji ze środowiska opartego na języku PHP. W ujawnieniu z zeszłego tygodnia urzędnicy ownCloud powiedzieli, że w konfiguracjach kontenerów – takich jak te korzystające z narzędzia do wirtualizacji Docker – adres URL może ujawnić dane używane do logowania się na podatnym na ataki serwerze. Urzędnicy ostrzegli ponadto, że samo wyłączenie aplikacji w takich przypadkach nie wystarczy, aby zawiesić podatny na ataki serwer.

Własne doradztwo w chmurze wyjaśniło:

Aplikacja „graphapi” opiera się na bibliotece strony trzeciej, która udostępnia adres URL. Po uzyskaniu dostępu do tego adresu URL zostaną wyświetlone szczegóły konfiguracji środowiska PHP (phpinfo). Informacje te obejmują wszystkie zmienne środowiskowe serwera WWW. W przypadku wdrożeń kontenerowych te zmienne środowiskowe mogą zawierać poufne dane, takie jak hasło administratora ownCloud, dane uwierzytelniające serwera pocztowego i klucz licencyjny.

Należy podkreślić, że luki nie można naprawić poprzez zwykłe wyłączenie aplikacji Graphapi. Dodatkowo phpinfo ujawnia różne inne potencjalnie wrażliwe szczegóły konfiguracji, które mogą zostać wykorzystane przez osobę atakującą do zebrania informacji o systemie. Dlatego nawet jeśli ownCloud nie działa w środowisku kontenerowym, ta luka nadal powinna stanowić problem.

Nie wszyscy eksperci ds. bezpieczeństwa uważają tę lukę za powszechne zagrożenie, jak ma to miejsce w przypadku innych luk – ostatnio luki CVE-2023-4966 i CitrixBleed. W szczególności niezależny badacz Kevin Beaumont zauważył że luka CVE-2023-49103 została wprowadzona dopiero w 2020 r., domyślnie nie można jej wykorzystać i została wprowadzona w kontenerach dopiero w lutym.

„Nie sądzę, żeby ktokolwiek inny faktycznie sprawdził, czy ta luka w zabezpieczeniach jest włączona” – powiedział w wywiadzie. Ponadto ownCloud strona internetowa pokazało, że w momencie publikacji tego posta Graphapi miał mniej niż 900 instalacji na Ars. Urzędnicy ownCloud nie odpowiedzieli natychmiast na e-mail z prośbą o podanie szczegółów technicznych luki i dokładnych warunków jej wykorzystania.

Nadal istnieją uzasadnione obawy, biorąc pod uwagę potencjalne zagrożenie stwarzane przez CVE-2023-49103. Według organizacji zajmującej się bezpieczeństwem Shadowserver niedawny skan wykazał, że tak jest ponad 11 000 adresów IP Hosting serwerów ownCloud, prowadzonych przez adresy w Niemczech, USA, Francji, Rosji i Polsce. Nawet jeśli tylko niewielka część serwerów jest podatna na ataki, ryzyko szkód jest realne.

„Biorąc pod uwagę łatwość wykorzystania tego narzędzia, nie jest zaskakujące, że zaczęliśmy widzieć próby OwnCloud CVE-2023-49103” – napisali urzędnicy Shadowserver. „To jest ujawnienie poufnych danych uwierzytelniających i konfiguracji w CVSS 10 podczas wdrożeń kontenerów. Postępuj zgodnie z zaleceniami ownCloud dotyczącymi środków zaradczych.”

Dodatkowe luki o dużej wadze w ownCloud

Kolejny powód do niepokoju: ownCloud naprawił niedawno dwie dodatkowe luki o wysokim stopniu ważności, w tym CVE-2023-94105 o wadze 9,8. Luka umożliwia ominięcie uwierzytelniania w interfejsie API WebDAV przy użyciu wstępnie podpisanych adresów URL. Hakerzy mogą to wykorzystać, aby „uzyskać dostęp, zmodyfikować lub usunąć dowolny plik bez uwierzytelnienia, jeśli nazwa użytkownika ofiary jest znana, a ofiara nie skonfigurowała klucza podpisywania (co jest ustawieniem domyślnym)” – ostrzegają urzędnicy ownCloud. Luka dotyczy interfejsu WebDAV API w wersji ownCloud od 10.6.0 do 10.13.0.

Trzecia luka, oznaczona jako CVE-2023-94104, to luka polegająca na obejściu weryfikacji subdomeny o poziomie ważności 8,7. Hakerzy mogą to wykorzystać, korzystając z adresu URL przekierowania, przekierowując wywołania zwrotne do domeny kontrolowanej przez atakującego.

Aby naprawić lukę w OwnCloud, która ma zostać wykorzystana, ownCloud zalecił użytkownikom wykonanie następujących czynności:

Usuń plik owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. Dodatkowo wyłączyliśmy funkcję PHPInfo w naszych kontenerach Docker. Zastosujemy różne techniki wzmacniania zabezpieczeń, aby złagodzić podobne luki w przyszłych wersjach podstawowych.

Zalecamy również zmianę następujących sekretów:
– hasło administratora ownCloud
– Dane logowania do serwera pocztowego
– Dane uwierzytelniające bazy danych
– Klucz dostępu do magazynu obiektów/S3

Chociaż nie ma żadnych raportów o aktywnym wykorzystywaniu pozostałych dwóch luk, użytkownicy powinni postępować zgodnie z instrukcjami ownCloud Tutaj I Tutaj.

W ostatnich miesiącach luki w aplikacjach do udostępniania plików, takich jak WS-FTP Server, MOVEit, IBM Aspera Faspex i GoAnywhere MFT, umożliwiły złamanie zabezpieczeń tysięcy sieci korporacyjnych. Każdy, kto ignoruje zagrożenie, jakie stwarzają niedawno naprawione braki w ownCloud, robi to na własne ryzyko.