Bulut Güvenliği, Yönetişim ve Risk Yönetimi, Yama Yönetimi
İçerik İşbirliği Platformu Geçen Ay Güncellemeleri ve Uyarıları Doğrudan Kullanıcılara Gönderdi
Mathew J. Schwartz (euroinfosec) •
29 Kasım 2023
Güvenlik araştırmacıları, açık kaynaklı ownCloud dosya sunucusu ve içerik işbirliği platformunun kullanıcılarını hedef alan aktif saldırı girişimlerini izliyor.
Ayrıca bakınız: İsteğe Bağlı | Sıfır Güven Devrimi: Ağ Güvenliği için Bulut, Makine Öğrenimi Ustalığı
Saldırı uyarısı, ownCloud’un 21 Kasım’da CVE-2023-49103 olarak takip edilen “kritik” bir güvenlik açığı nedeniyle “konteynerli dağıtımlarda hassas kimlik bilgilerinin ve yapılandırmaların ifşa edilmesi” riskiyle karşı karşıya oldukları konusunda kullanıcıları uyaran bir güvenlik uyarısı yayınlamasının ardından geldi.
Güvenlik açığı, ownCloud’un Graph API uygulamasının 0.2.0 ve 0.3.0 sürümlerinde mevcuttur. ownCloud, 21 Kasım’dan bu yana, özel içerik ağlarının bakımına yönelik yazılımlar satan, eski adı Accellion olan San Mateo, Kaliforniya merkezli Kiteworks’ün bir parçası. Özel bir şirket olan Kiteworks, açıklanmayan bir meblağ karşılığında ownCloud’u satın aldı.
ownCloud’dan bir sözcü, Information Security Media Group’a kusurlarla ilgili olarak müşterileri doğrudan e-posta yoluyla ilk kez 20 Eylül’de bilgilendirdiğini ve onlara bunları düzelten güncellemeleri yüklemelerini tavsiye ettiğini söyledi.
Tehdit istihbarat firması GreyNoise Cumartesi günü, güvenlik açığını hedef alan kitlesel istismar girişimlerinin görüldüğünü ve en fazla sayıda saldırının İsrail’i hedef aldığını bildirdi.
Firmada güvenlik araştırmacısı olan Glenn Thorpe, Mastodon’da Çarşamba günü GreyNoise, “reklam yapılmayan sensörlerimize çarpan 34 benzersiz IP gördüğünü bildirdi; bu da neyin çarptığını görmek için internette hemen hemen bu IP’yi yaydıklarını gösteriyor” dedi.
ownCloud projesi, güvenlik açığının üçüncü tarafta bulunduğunu söyledi GetPhpInfo.php Uygulamaya bir URL sağlayan Graph API uygulamasında kullanılan kitaplık. Uyarıya göre “Bu URL’ye erişildiğinde, PHP ortamının (phpinfo) yapılandırma ayrıntıları ortaya çıkıyor.” Phpinfo işlevi için tipik olduğu gibi, “bu bilgiler web sunucusunun tüm ortam değişkenlerini içerir”; konteynerleştirilmiş ortamlar için bu bilgiler ” ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir.”
Şubat ayından önce oluşturulan Docker konteynerlerinin kimlik bilgilerinin ifşa edilmesi riski taşımadığı belirtildi.
Hedef: Dosya Paylaşım Platformları
Dosya paylaşım hizmetleri saldırganların başlıca hedefi olmaya devam ediyor. Mayıs ayı sonlarında, Clop fidye yazılımı grubu, Progress Software’in yaygın olarak kullanılan MOVEit güvenli dosya aktarım yazılımındaki sıfır gün kusurundan yararlandı. Güvenlik firması Emsisoft’un bildirdiğine göre saldırganlar, 2.635’ten fazla kuruluşa ve 83 milyondan fazla kişiye ait MOVEit sunucularında depolanan verileri çalmak için bu güvenlik açığından yararlandı. Clop daha önce Accellion, Serv-U ve GoAnywhere gibi diğer güvenli yönetilen dosya aktarım araçlarını hedef almıştı ve Mart ayında diğer iki fidye yazılımı grubu, IBM Aspera Faspex dosya alışverişi yazılımındaki yamalı kusurları hedef almıştı (bkz: Bilgisayar Korsanları Güvenli Dosya Aktarım Yazılımını Tekrar Tekrar Kullanıyor).
Saldırganlar bunları kullanmaya başlamadan önce dosya aktarım yazılımındaki kusurları bulmak amacıyla, Rapid7’deki güvenlik araştırmacıları son aylarda Fortra Globalscape EFT Sunucusu, JSCAPE MFT ve South River Technologies Titan MFT gibi dosya aktarım araçlarındaki yeni güvenlik açıklarını tespit edip sağlayıcıları bilgilendirdi. ve Titan SFTP.
Önerilen Azaltmalar
Kusuru azaltmak için ownCloud’un güncellenmiş yazılımı, GetPhpInfo.php Dosyayı uygulamadan alır ve docker konteynerleri için phpinfo işlevini tamamen devre dışı bırakır. “Benzer güvenlik açıklarını azaltmak için gelecekteki çekirdek sürümlerde çeşitli sertleştirmeler uygulayacağız” dedi.
Ayrıca ownCloud, tüm kullanıcıların yalnızca yazılımlarını güncellemelerini değil aynı zamanda saldırganların bunlara zaten erişmiş olabileceği için aşağıdaki sırları da değiştirmelerini önerir:
- ownCloud için yönetici şifresi;
- Posta sunucusu kimlik bilgileri;
- Veritabanı kimlik bilgileri;
- Bağlı S3 klasörleri için erişim anahtarları.
ownCloud, Graph API uygulamasının devre dışı bırakılmasının kusuru hafifletmeyeceğini ve yalnızca kapsayıcıya alınmış ortamların risk altında olmadığını söyledi. Bunun nedeni, phpinfo işlevinin “bir saldırganın sistem hakkında bilgi toplamak için kullanabileceği diğer potansiyel olarak hassas yapılandırma ayrıntılarını ortaya çıkarmasıdır”. “Bu nedenle, ownCloud kapsayıcılı bir ortamda çalışmıyor olsa bile, bu güvenlik açığı yine de endişe kaynağı olmalıdır.”
GreyNoise’dan Thorpe bir blog yazısında “OwnCloud’u kullanan kuruluşlar bu güvenlik açıklarını derhal gidermeli” dedi.
Bu güvenlik açığının ne kadar yaygın olabileceği belirsizliğini koruyor. Graph API sürüm 0.31 uygulamasının indirme sayfasında Çarşamba itibarıyla bugüne kadar 866 indirme gerçekleşti.
ownCloud sözcüsü Information Security Media Group’a şöyle konuştu: “Şu anki bilgimize göre, güvenlik açığını kapattığımızdan, yazılımımızı güncelledikten ve müşterilerimize CVE kamuya açıklanmadan önce sistemlerini nasıl güvence altına alacaklarını tavsiye ettiğimizden beri hiçbir müşterimiz etkilenmedi.”
Kötü niyetli çevrimiçi etkinlikleri izleyen Shadowserver Vakfı, Mastodon aracılığıyla, başta Almanya olmak üzere, Amerika Birleşik Devletleri, Fransa, Rusya ve Polonya’da olmak üzere 11.000’den fazla internet bağlantılı ownCloud kurulumunun bulunduğunu bildirdi. Bu kurulumların CVE-2023-49103’e karşı savunmasız olup olmadığı net değil.
Shadowserver, “Sömürü kolaylığı göz önüne alındığında, ownCloud CVE-2023-49103 girişimlerini görmeye başlamamız şaşırtıcı değil” diye yazdı. “Bu, kapsayıcıya alınmış dağıtımlardaki hassas kimlik bilgilerinin ve yapılandırmaların CVSS 10 açıklamasıdır. Lütfen ownCloud tavsiye niteliğindeki risk azaltma adımlarını izleyin.”
İngiliz güvenlik araştırmacısı Kevin Beaumont, saldırganların ownCloud dağıtımlarını toplu olarak tehlikeye atma girişimlerini köreltecek “birkaç hafifletici faktör” görüyor.
Özellikle, güvenlik açığı 2020 yılına kadar yazılıma eklenmedi, Graph API varsayılan olarak ownCloud uygulamalarına etkin değil ve işlevsellik “yalnızca bu yılın başında ilgi çekici ortam değişkenlerine sahip konteynerlerde tanıtıldı” dedi. bir Mastodon gönderisi.
Beaumont Ars Technica’ya “Başka kimsenin bu güvenlik açığı özelliğinin etkin olup olmadığını kontrol ettiğini sanmıyorum” dedi.
Ek Güvenlik Açıkları
ownCloud, CVE-2023-49103’ün ötesinde, kullanıcıları daha sonra 21 Kasım’da kamu güvenliği uyarılarıyla vurguladığı iki güvenlik açığı hakkında da doğrudan bilgilendirdi.
CVE-2023-49104 olarak adlandırılan ve CVSS puanı 9,0 olan kritik bir güvenlik açığı, oauth2 uygulamasının 0.6.1’den önceki sürümlerinde mevcuttur ve doğrulamayı atlamak ve geri aramaları yeniden yönlendirmek için özel hazırlanmış bir URL kullanan bir saldırgan tarafından istismar edilebilir. ownCloud, saldırganın kontrol ettiği bir alana yönlendirildiğini söyledi.
CVE-2023-49105 olarak adlandırılan ve CVSS puanı 9,8 olan başka bir güvenlik açığı, kurbanın kullanıcı adını biliyorsa ve yapılandırılmış bir imzalama anahtarı yoksa, bir saldırgan tarafından “kimlik doğrulaması olmadan herhangi bir dosyaya erişmek, değiştirmek veya silmek” için kullanılabilir. Bu tür anahtarlar varsayılan olarak yapılandırılmamıştır. Güvenlik açığı, ownCloud’un 10.6.0 ile 10.13.0 arasındaki sürümlerinde mevcuttur ve yazılım geliştiricisinin önerdiği hafifletme yollarından biri, bu tür imzalama anahtarlarının etkinleştirilmesidir.