Bezpečnostní výzkumníci sledují to, co říkají, že je „masové zneužívání“ zranitelnosti, která umožňuje převzít plnou kontrolu nad servery provozujícími ownCloud, široce používanou serverovou aplikaci pro sdílení souborů s otevřeným zdrojovým kódem.
Zranitelnost, která má maximální hodnocení závažnosti 10, umožňuje získat hesla a šifrovací klíče, které umožňují administrativní kontrolu zranitelného serveru odesláním jednoduchého webového požadavku na statickou adresu URL, uvedli představitelé ownCloud. k opatrnosti minulý týden. Během čtyř dnů po odhalení 21. listopadu jej objevili výzkumníci bezpečnostní společnosti Greynoise Řekl, si začali všímat „hromadných exploitů“ na svých serverech honeypot, které se maskovaly jako zranitelné soukromé servery, aby sledovaly pokusy o zneužití této chyby zabezpečení. Počet IP adres odesílajících webové požadavky od té doby pomalu narůstal. V době, kdy byl tento příspěvek publikován na Ars, dosáhl 13.
Internetový sprej
„Jsme svědky zásahů do konkrétního koncového bodu, který odhaluje citlivé informace, což by mohlo být považováno za zneužití,“ řekl Glenn Thorpe, vrchní ředitel bezpečnostního výzkumu a detekčního inženýrství ve společnosti Greynoise. Řekl to v rozhovoru Na Mastodonu. „Právě teď jsme viděli 13 IP adres, které bez ohlášení dorazily k našim senzorům, což naznačuje, že je šíří po internetu, aby viděli, co se děje.“
CVE-2023-49103 existuje ve verzích 0.2.0 a 0.3.0 graphapi, což je aplikace, která běží v některých nasazeních ownCloud v závislosti na tom, jak jsou nakonfigurovány. Knihovna kódu třetí strany používaná aplikací poskytuje adresu URL, která při přístupu odhalí podrobnosti o konfiguraci z prostředí založeného na PHP. V oznámení z minulého týdne představitelé ownCloud uvedli, že v konfiguracích kontejnerů – jako jsou ty, které používají virtualizační nástroj Docker – může adresa URL odhalit data použitá k přihlášení k zranitelnému serveru. Úředníci dále varovali, že pouhé zakázání aplikace v takových případech k zabezpečení zranitelného serveru nestačí.
Vysvětlení konzultace s ownCloud:
„graphapi“ se spoléhá na knihovnu třetí strany, která poskytuje adresu URL. Při přístupu k této adrese URL se zobrazí podrobnosti o konfiguraci prostředí PHP (phpinfo). Tyto informace zahrnují všechny proměnné prostředí webového serveru. V kontejnerových nasazeních mohou tyto proměnné prostředí zahrnovat citlivá data, jako je vaše vlastní heslo správce cloudu, přihlašovací údaje poštovního serveru a licenční klíč.
Je důležité zdůraznit, že pouhé zakázání graphapi chybu zabezpečení neodstraní. Kromě toho phpinfo odhaluje několik dalších potenciálně citlivých konfiguračních detailů, které by mohl útočník zneužít ke shromažďování informací o systému. Proto, i když ownCloud neběží v prostředí kontejneru, tato chyba zabezpečení by měla být stále důvodem k obavám.
Ne všichni bezpečnostní praktici považují zranitelnost za rozšířenou hrozbu, stejně jako další zranitelnosti – naposledy zranitelnost sledovaná jako CVE-2023-4966 a CitrixBleed. Konkrétně nezávislý výzkumník Kevin Beaumont Všiml si Chyba zabezpečení CVE-2023-49103 byla představena až v roce 2020, ve výchozím nastavení není zneužitelná a v kontejnerech byla představena až v únoru.
„Nemyslím si, že by někdo jiný skutečně ověřil, že je zranitelná funkce povolena,“ řekl v rozhovoru. A co víc, ownCloud webová stránka Ukažte, že graphapi mělo v době publikování tohoto příspěvku na Ars méně než 900 instalací. Úředníci ownCloud okamžitě neodpověděli na e-mail požadující technické podrobnosti o zranitelnosti a přesných podmínkách, které jsou nutné k jejímu zneužití.
Vzhledem k potenciální hrozbě, kterou představuje CVE-2023-49103, stále existuje prostor pro oprávněné obavy. Podle bezpečnostní organizace Shadowserver to odhalil nedávný sken Více než 11 000 IP adres Hosting serverů ownCloud, především s adresami v Německu, USA, Francii, Rusku a Polsku. I když je ohrožena pouze malá část serverů, možnost poškození je reálná.
„Není překvapivé, vzhledem k snadnému využití, že začínáme vidět pokusy o OwnCloud CVE-2023-49103,“ napsali představitelé Shadowserveru. „Jedná se o odhalení citlivých přihlašovacích údajů a konfigurací CVSS 10 v kontejnerových nasazeních. Postupujte prosím podle pokynů pro zmírnění dopadů na ownCloud.“
Více vysoce rizikových zranitelností specifických pro cloud
Další důvod k obavám: ownCloud nedávno opravil dvě další vysoce rizikové zranitelnosti, včetně CVE-2023-94105, která má skóre závažnosti 9,8. Chyba umožňuje obejít autentizaci v rozhraní WebDAV API pomocí předem podepsaných adres URL. Úředníci ownCloud varovali, že hackeři by jej mohli zneužít k „přístupu, úpravě nebo smazání jakéhokoli souboru bez ověření, pokud je známé uživatelské jméno oběti a není nakonfigurován podpisový klíč oběti (což je výchozí nastavení). Tato chyba zabezpečení ovlivňuje rozhraní WebDAV API ve verzi ownCloud 10.6.0 až 10.13.0.
Třetí chyba zabezpečení sledovaná jako CVE-2023-94104 je chyba vynechání ověření subdomény s hodnocením závažnosti 8,7. Hackeři jej mohou zneužít pomocí přesměrovací adresy URL, což umožňuje přesměrovat zpětná volání do domény kontrolované útočníkem.
Chcete-li opravit zneužitou zranitelnost ownCloud, ownCloud uživatelům doporučil:
Smažte soubor
owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php.
Navíc jsme deaktivovali funkci phpinfo v našich kontejnerech dockeru. V budoucích základních verzích implementujeme různá zpřísňující opatření, abychom podobné zranitelnosti zmírnili.Doporučujeme také změnit následující tajemství:
– heslo administrátora ownCloud
– Přihlašovací údaje k poštovnímu serveru
– Databázové přihlašovací údaje
– Přístupový klíč Object-Store/S3
Ačkoli neexistují žádné zprávy o aktivním zneužívání jiných zranitelností, uživatelé by se měli řídit pokyny poskytnutými ownCloud tady A tady.
V posledních měsících umožnila zranitelnost aplikací pro sdílení souborů, jako je WS-FTP Server, MOVEit, IBM Aspera Faspex a GoAnywhere MFT, hackování tisíců podnikových sítí. Každý, kdo ignoruje hrozbu, kterou představují nedávno opravené chyby ownCloud, tak činí na vlastní riziko.
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“