Saldırganlar, kurumsal ortamlarda kullanılan popüler bir dosya paylaşım ve işbirliği platformu olan ownCloud’daki kritik bir bilginin açığa çıkması güvenlik açığından (CVE-2023-49103) yararlanmaya çalışıyor.
Greynoise ve SANS ISC, girişimlerin ilk olarak hafta sonu tespit edildiğini söylüyor, ancak SANS Teknoloji Enstitüsü Araştırma Dekanı Dr. Johannes Ullrich, ownCloud’a yönelik saldırıların nadir olmadığını ve “birçoğunun muhtemelen sadece örnek bulmaya çalıştığını” belirtti. ownCloud’un eski güvenlik açıklarından yararlanması veya zayıf parolalar denemesi.”
CVE-2023-49103 Hakkında
OwnCloud geliştiricileri, düzeltmeleri kullanıma sunduktan sonra geçen hafta başında ownCloud çözümünü etkileyen CVE-2023-49103’ü ve diğer iki kritik kusuru (CVE-2023-49104, CVE-2023-49105) açıkladı.
Üçü arasında en kritik olanı ve aktif olarak hedeflenen CVE-2023-49103, çözümün Graph API uygulamasında yer alıyor ve saldırganların hassas verilere erişmesine olanak tanıyabiliyor.
“’graphapi’ uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor. Geliştiriciler, bu URL’ye erişildiğinde PHP ortamının (phpinfo) yapılandırma ayrıntılarını ortaya çıkardığını açıkladı.
“Bu bilgi web sunucusunun tüm ortam değişkenlerini içerir. Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir.”
CVE-2023-49104, çözümün oauth2 uygulamasını etkiler ve saldırganların “doğrulama kodunu atlayan ve böylece saldırganın geri aramaları saldırgan tarafından kontrol edilen bir TLD’ye yönlendirmesine olanak tanıyan özel hazırlanmış bir yönlendirme URL’si iletmesine” olanak tanır.
CVE-2023-49105, kurbanın kullanıcı adını biliyorlarsa ve kurbanın yapılandırılmış bir imzalama anahtarı yoksa (varsayılandır) saldırganların dosyalara erişmesine, bunları değiştirmesine veya silmesine olanak tanıyan bir kimlik doğrulama atlama hatasıdır.
Düzeltmeler ve hafifletmeler
Yöneticilerin sağlanan düzeltmeleri veya geçici çözümleri uygulamaları ve yayınlanan tavsiyelerde belirtilen risk azaltma eylemlerini gerçekleştirmeleri önerilir.
CVE-2023-49103 için ikincisi dosyanın silinmesini içerir owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo ve ownCloud yönetici şifresini, posta sunucusunu ve veritabanı kimlik bilgilerini ve Object-Store/S3 erişim anahtarını değiştirmek.
“Grapapi uygulamasını devre dışı bırakmanın güvenlik açığını ortadan kaldırmadığını vurgulamak önemli. Ek olarak phpinfo, bir saldırganın sistem hakkında bilgi toplamak için kullanabileceği diğer potansiyel olarak hassas yapılandırma ayrıntılarını da açığa çıkarır. Bu nedenle, ownCloud kapsayıcılı bir ortamda çalışmıyor olsa bile, bu güvenlik açığı yine de endişe kaynağı olmalıdır” dedi ve Şubat 2023’ten önceki Docker kapsayıcılarının kimlik bilgilerinin ifşa edilmesine karşı savunmasız olmadığını ekledi.