ownCloud, kullanıcılarını, dosya paylaşım yazılımındaki, kötüye kullanılması halinde hassas bilgileri ortaya çıkarabilecek ve dosyaları değiştirebilecek üç kritik güvenlik açığı konusunda uyardı. Özellikle ve potansiyel olarak etkili olanlardan biri, konteynerli dağıtımlarda hassas kimlik bilgilerinin ve yapılandırmanın ifşa edilmesine yol açabilecek bir güvenlik açığıdır.
ownCloud, kullanıcıların dosyaları barındırmasına ve senkronize etmesine olanak tanıyan, çok yaygın olarak kullanılan açık kaynaklı bir projedir. ownCloud kendi web sitesinde 600’ü işletme olmak üzere 200 milyon kullanıcıya sahip olduğunu söylüyor.
Güvenlik açıkları projenin yapı taşlarından birinden kaynaklanıyor.
“Grapapi uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor. Bu URL’ye erişildiğinde PHP ortamının (phpinfo) yapılandırma ayrıntıları ortaya çıkar.”
Microsoft’un Graph API’si (graphapi), Microsoft Bulut hizmeti kaynaklarına erişmenizi sağlayan bir web API’sidir. Uygulamanızı kaydettikten ve bir kullanıcı veya hizmet için kimlik doğrulama belirteçleri aldıktan sonra Microsoft Graph API’sine istekte bulunabilirsiniz.
Shodan araması, özellikle Almanya ve ABD’de açığa çıkan binlerce hizmeti gösteriyor.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bulunan güvenlik açıklarının CVE’leri şunlardır:
CVE-2023-49105 (CVSS puanı 10 üzerinden 9,8): ownCloud’da bir sorun keşfedildi kendi bulut/çekirdek 10.13.1’den önce. Kurbanın kullanıcı adı biliniyorsa ve kurbanda yapılandırılmış bir imzalama anahtarı yoksa, saldırgan kimlik doğrulaması olmadan herhangi bir dosyaya erişebilir, bunları değiştirebilir veya silebilir. Bunun nedeni, dosyaların sahibi için hiçbir imzalama anahtarı yapılandırılmadığında bile önceden imzalanmış URL’lerin kabul edilebilmesidir. Etkilenen en eski sürüm 10.6.0’dır.
CVE-2023-49104 (CVSS puanı 10 üzerinden 9): ownCloud’da bir sorun keşfedildi owncloud/oauth2 0.6.1’den önce, Alt Alan Adlarına İzin Ver etkinleştirildiğinde. Saldırgan, doğrulamayı atlayan hazırlanmış bir yönlendirme URL’sini iletebilir ve sonuç olarak saldırganın, geri aramaları kendisi tarafından kontrol edilen bir Üst Düzey Etki Alanına (TLD) yeniden yönlendirmesine olanak tanır.
Yönlendirme URL’leri OAuth (kimlik doğrulama) akışının kritik bir parçasıdır. Kullanıcı bir uygulamayı başarıyla yetkilendirdikten sonra, yetkilendirme sunucusu kullanıcıyı tekrar uygulamaya yönlendirecektir. Yönlendirme URL’si hassas bilgiler içereceğinden, hizmetin kullanıcıyı rastgele konumlara yönlendirmemesi kritik öneme sahiptir.
CVE-2023-49103 (CVSS puanı 10 üzerinden 10): 0.2.1’den önceki ownCloud owncloud/graphapi 0.2.x’te ve 0.3.1’den önceki 0.3.x’te bir sorun keşfedildi. Grapapi uygulaması, URL sağlayan üçüncü taraf GetPhpInfo.php kitaplığına dayanır. Bu URL’ye ulaştığınızda, PHP ortamının (phpinfo) yapılandırma ayrıntıları ortaya çıkar. Bu bilgiler web sunucusunun tüm ortam değişkenlerini içerir. Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir. Bunlara ek olarak, phpinfo Bir saldırganın sistem hakkında bilgi toplamak için kullanabileceği diğer potansiyel olarak hassas yapılandırma ayrıntılarını açığa çıkarır. Bu nedenle, ownCloud konteynerli bir ortamda çalışmıyor olsa bile bu güvenlik açığı yine de endişe kaynağı olmalıdır. Bu güvenlik açığına yönelik çalışan bir Kavram Kanıtı (PoC) GitHub’da zaten mevcuttur
Fidye yazılımı operatörleri bu güvenlik açığıyla dolu bir gün geçirebilir. Geçmişte de gösterdikleri gibi, dosya paylaşım uygulamalarını neredeyse yönetici şifreleri kadar seviyorlar. Ağınızda serbestçe dolaşabilmelerine ve çalınan verileri masrafları size ait olmak üzere kontrolleri altındaki bir konuma taşımalarına olanak tanır.
Ne yapalım
ownCloud dosyayı silmeniz gerektiğini söylüyor owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. Basitçe graphapi uygulamasını devre dışı bırakmak güvenlik açığını ortadan kaldırmaz.
Daha yeni sürümlerde ownCloud devre dışı bırakılmıştır. phpinfo Benzer güvenlik açıklarını azaltmak için gelecekteki çekirdek sürümlerde çeşitli güçlendirmeler uygulama sözü vererek liman işçisi konteynerlerinde işlev görür.
Daha sonra aşağıdakileri değiştirin:
- ownCloud yönetici şifreniz
- Posta sunucusu kimlik bilgileri
- Veritabanı kimlik bilgileri
- Object-Store/S3 erişim anahtarı
Şubat 2023’ten önceki Docker kapsayıcılarının kimlik bilgilerinin açıklanmasına karşı savunmasız olmadığını unutmayın.
Şu anda yama yapamıyorsanız, CVE-2023-49104 için geçici bir çözüm olarak güvenlik açığını devre dışı bırakmak üzere “Alt Etki Alanlarına İzin Ver” seçeneğini devre dışı bırakabilirsiniz.
CVE-2023-49105’e geçici çözüm olarak imzalama anahtarını yapılandırabilirsiniz.
ownCloud’un nasıl güncelleneceğine ilişkin talimatlar web sitesinde bulunabilir.
Kara Cuma indirimi
Yalnızca sınırlı bir süre için Ev paketlerimizde %50 indirimden yararlanın!
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.