Açık kaynaklı dosya paylaşım yazılımı ownCloud, yönetici şifrelerini ve posta sunucusu kimlik bilgilerini açığa çıkarabilecek biri de dahil olmak üzere, kritik önem derecesine sahip üç güvenlik açığı konusunda uyarıda bulunuyor.
ownCloud, dosyaları kendi kendine barındırılan bir platform aracılığıyla yönetmek ve paylaşmak isteyen bireyler ve kuruluşlar için tasarlanmış açık kaynaklı bir dosya senkronizasyonu ve paylaşım çözümüdür.
Verilerini üçüncü taraf bulut depolama sağlayıcılarında barındırmak yerine verileri üzerinde kontrol sahibi olmayı tercih eden işletmeler ve kuruluşlar, eğitim kurumları, devlet kurumları ve gizlilik bilincine sahip kişiler tarafından kullanılır. OwnCloud’un sitesi 200.000 kurulum, 600 kurumsal müşteri ve 200 milyon kullanıcı rapor ediyor.
Yazılım, bulut depolama platformu için çeşitli işlevler sağlamak üzere birlikte çalışan birden fazla kitaplık ve bileşenden oluşur.
Ciddi veri ihlali riskleri
Projenin arkasındaki geliştirme ekibi bu hafta başında üç güvenlik bülteni yayınlayarak ownCloud’un bileşenlerinde bulunan ve bütünlüğü ciddi şekilde etkileyebilecek üç farklı kusur konusunda uyarıda bulundu.
İlk kusur, CVE-2023-49103 olarak izlendi ve maksimum CVSS v3 puanı 10 aldı. Kusur, konteynerli dağıtımlarda kimlik bilgilerini ve yapılandırma bilgilerini çalmak için kullanılabilir ve web sunucusunun tüm ortam değişkenlerini etkileyebilir.
Grapapi 0.2.0’dan 0.3.0’a kadar olan sürümleri etkileyen sorun, uygulamanın PHP ortam ayrıntılarını bir URL aracılığıyla açığa çıkaran, ownCloud yönetici şifrelerini, posta sunucusu kimlik bilgilerini ve lisans anahtarlarını açığa çıkaran bir üçüncü taraf kitaplığına bağımlılığından kaynaklanmaktadır.
Önerilen düzeltme, ‘owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php’ dosyasını silmek, Docker kapsayıcılarında ‘phpinfo’ işlevini devre dışı bırakmak ve ownCloud yönetici şifresi gibi potansiyel olarak açığa çıkan sırları değiştirmektir. , posta sunucusu, veritabanı kimlik bilgileri ve Object-Store/S3 erişim anahtarları.
Güvenlik bülteni, “Grapapi uygulamasını devre dışı bırakmanın güvenlik açığını ortadan kaldırmadığını vurgulamak önemlidir” diye uyarıyor.
“Ayrıca phpinfo, bir saldırganın sistem hakkında bilgi toplamak için kullanabileceği diğer potansiyel olarak hassas yapılandırma ayrıntılarını açığa çıkarır. Bu nedenle, ownCloud kapsayıcılı bir ortamda çalışmıyor olsa bile, bu güvenlik açığı yine de endişe kaynağı olmalıdır.”
CVSS v3 puanı 9,8 olan ikinci sorun, ownCloud çekirdek kitaplığının 10.6.0 ile 10.13.0 arasındaki sürümlerini etkiliyor ve bir kimlik doğrulama atlama sorunudur.
Bu kusur, kullanıcının kullanıcı adı biliniyorsa ve bir imzalama anahtarı yapılandırmamışsa (varsayılan ayar) saldırganların kimlik doğrulaması olmadan herhangi bir dosyaya erişmesine, bunları değiştirmesine veya silmesine olanak tanır.
Yayınlanan çözüm, dosyaların sahibi için herhangi bir imzalama anahtarı yapılandırılmamışsa, önceden imzalanmış URL’lerin kullanımını reddetmektir.
Üçüncü ve daha az ciddi olan kusur (CVSS v3 puanı: 9), oauth2 kitaplığının 0.6.1’in altındaki tüm sürümlerini etkileyen bir alt alan doğrulama atlama sorunudur.
Oauth2 uygulamasında bir saldırgan, doğrulama kodunu atlayan, geri aramaların saldırgan tarafından kontrol edilen bir alana yeniden yönlendirilmesine olanak tanıyan özel hazırlanmış bir yönlendirme URL’si girebilir.
Önerilen azaltıcı önlem, Oauth2 uygulamasındaki doğrulama kodunun sağlamlaştırılmasıdır. Bültende paylaşılan geçici çözümlerden biri, “Alt Alan Adlarına İzin Ver” seçeneğinin devre dışı bırakılmasıdır.
Bültenlerde açıklanan üç güvenlik açığı, ownCloud ortamının güvenliğini ve bütünlüğünü önemli ölçüde etkileyerek, potansiyel olarak hassas bilgilerin açığa çıkmasına, gizli veri hırsızlığına, kimlik avı saldırılarına ve daha fazlasına yol açabilir.
Dosya paylaşım platformlarındaki güvenlik açıkları, CLOP gibi fidye yazılımı gruplarının bunları dünya çapında binlerce şirkete yönelik veri hırsızlığı saldırılarında kullanması nedeniyle sürekli saldırı altındadır.
Bu nedenle, ownCloud yöneticilerinin önerilen düzeltmeleri hemen uygulaması ve kitaplık güncellemelerini bu riskleri azaltmak için mümkün olan en kısa sürede gerçekleştirmesi kritik öneme sahiptir.