Bilgisayar korsanları açık kaynaktaki kritik bir kusurdan aktif olarak yararlanıyor ownCloud platformu yönetici şifrelerine, posta sunucusu kimlik bilgilerine ve lisans anahtarlarına erişime izin vererek kuruluşlarını veri ihlallerine veya diğer kötü amaçlı faaliyetlere maruz bırakır.
Kusur şu şekilde izlendi: CVE-2023-49103 21 Kasım’da ownCloud tarafından açıklanan bu proje, CVSS ciddiyet derecesinde 10 üzerinden 10’luk en yüksek puanı aldı. sömürülme kolaylığı. Bu durum, yaygın olarak hassas dosyaların güvenli bir şekilde depolanmasını, paylaşılmasını ve senkronize edilmesini sağlayan bir dosya sunucusu ve işbirliği platformu olan ownCloud’da kullanılan “graphapi” uygulamasındaki bir kusurdan kaynaklanmaktadır.
Araştırmacılar Gri Gürültü gözlemlendi 25 Kasım gibi erken bir dönemden başlayarak, açıktaki “toplu istismar” olarak nitelendirdikleri şey, şu ana kadar açıkta gösterilen mevcut verilere göre en az 40 benzersiz IP adresinin kusurdan yararlanmaya çalıştığı görüldü. izci.
GreyNoise’da güvenlik araştırması ve tespit mühendisliği kıdemli müdürü Glenn Thorpe, GreyNoise tarafından gözlemlenen ilk istismarı, saldırganların “neyin çarptığını görmek için İnternet’e hemen hemen püskürtmesi” olarak nitelendirdi: çevrimiçi bir tartışma Salı günü.
Shadowserver Vakfı ayrıca takip ediyor Çoğu Almanya, ABD, Fransa ve Rusya’da olmak üzere 11.000’den fazla açıkta kalan örnek gözlemlendiğinden bu kusurdan yararlanıldı.
Kusurdan etkilenen uygulama, ownCloud’un 0.2.0 ila 0.3.0 sürümlerinde mevcuttur. Thorpe, gönderisinde “Bu uygulama, şifreler ve anahtarlar da dahil olmak üzere hassas PHP ortamı yapılandırmalarını ortaya çıkaracak bir üçüncü taraf kitaplığı kullanıyor” diye yazdı.
GreyNoise’a göre uygulamayı devre dışı bırakmak bile sorunu tamamen çözmediğinden, yalnızca yama uygulayarak etkilenenlerin sorunu hafifletebileceğini unutmamak önemlidir. Araştırmacılar, kusurun hem kapsayıcıya alınmış hem de kapsayıcıya alınmamış ownCloud örneklerini etkilediğini, ancak Şubat 2023’ten önceki Docker kapsayıcılarının kimlik bilgilerinin açıklanmasına karşı savunmasız olmadığını belirtti.
Üstelik araştırmacılar, bu güvenlik açığının geçen hafta ownCloud’da ortaya çıkan üç güvenlik açığından yalnızca biri olduğunu ve bunların hepsinin saldırganların platform dağıtımlarındaki verileri ihlal etmesine izin verdiğini belirtti. Diğer ikisi bir kimlik doğrulama atlama hatası olarak takip edildi CVE-2023-49105 ve bir kritik kusur ilişkili oauth2 uygulama şu şekilde izlendi: CVE-2023-49104.
GreyNoise, “OwnCloud’u kullanan kuruluşların bu güvenlik açıklarını derhal gidermesi gerekiyor” diye önerdi.
En İyi CVSS Derecelendirmesi
OwnCloud, dünya çapında yaklaşık 1 milyon kuruluş tarafından, verileri kendi kendine barındırılan bir platform aracılığıyla yönetmek ve paylaşmak için kullanılıyor ve bir kuruluş genelinde dosya paylaşmak için Dropbox gibi çevrimiçi hizmetlerin kullanımının yerini alıyor. Teorik olarak bu, kurumsal dosya aktarımlarını genel bir bulut üzerinden göndermekten daha güvenli hale getirir (tabii ki ownCloud kurulumunun kötüye kullanılması durumu hariç).
Bu, ownCloud’a göre, erişildiğinde PHP ortamının yapılandırma ayrıntılarını ortaya çıkaran bir URL sağlayan bir üçüncü taraf kitaplığına dayanan graphapi’deki kritik kusurun mevcut durumudur.
Bu ayrıntılar, ownCloud’a göre kapsayıcılı dağıtımlarda “kendiCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilen” Web sunucusunun tüm ortam değişkenlerini içerir.
Kendi düzeltmesinde ownCloud, owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php dosyasını sildi ve kusuru gidermek için phpinfo işlevi docker-containers’ı devre dışı bıraktı. Şirket ayrıca benzer güvenlik açıklarını azaltmak için gelecekteki çekirdek sürümlerde çeşitli yönleri sağlamlaştırmayı planlıyor.
ownCloud, düzeltmeyi uygulamanın yanı sıra şirketlerin dağıtımlarında şu gizli bilgileri de değiştirmelerini önerdi: ownCloud yönetici parolası, posta sunucusu kimlik bilgileri, veritabanı kimlik bilgileri ve object-Store/S3 erişim anahtarı.
Dikkate Alınması Gereken Diğer Kusurlar
Şirket, graphapi kusuru kadar ciddi olmasa da, ownCloud tarafından yakın zamanda keşfedilen diğer iki kusurun da kritik olarak değerlendirildiğini ve dikkat edilmesi gerektiğini söyledi.
CVSS’de 9,8 olarak derecelendirilen CVE-2023-49105, kurbanın kullanıcı adı biliniyorsa ve kurbanın, platformun varsayılan yapılandırması olan yapılandırılmış bir imzalama anahtarı yoksa, saldırganların kimlik doğrulaması olmadan herhangi bir dosyaya erişmesine, değiştirmesine veya silmesine olanak tanır. .
Kusur, ownCloud “çekirdek” uygulamasının 10.6.0 – 10.13.0 sürümlerini etkiliyor ve dosyaların sahibi için herhangi bir imzalama anahtarı yapılandırılmamışsa, önceden imzalanmış URL’lerin kullanımının reddedilmesiyle giderilebilir.
Bu arada CVE-2023-49104 ownCloud’u etkiliyor oauth2 Uygulamanın 0.6.1’den önceki sürümlerini destekler ve birisinin, doğrulama kodunu atlayan, özel hazırlanmış bir yönlendirme URL’si iletmesine olanak tanır. Bu da saldırganın geri aramaları saldırgan tarafından kontrol edilen üst düzey bir alana yönlendirmesine olanak tanır.
Kusur, CVSS’de 9 olarak derecelendirilmiştir ve oauth2 uygulamasındaki doğrulama kodunun sağlamlaştırılmasıyla hafifletilebilir. ownCloud’a göre, kusuru da düzelten bir geçici çözüm, “Alt Etki Alanlarına İzin Ver” seçeneğini devre dışı bırakmaktır.