Imagens Getty
Pesquisadores de segurança estão rastreando o que dizem ser a “exploração em massa” de uma vulnerabilidade de segurança que torna possível assumir o controle whole de servidores que executam o ownCloud, um aplicativo de servidor de compartilhamento de arquivos de código aberto amplamente utilizado.
A vulnerabilidade, que tem classificação de gravidade máxima de 10, possibilita a obtenção de senhas e chaves criptográficas que permitem o controle administrativo de um servidor vulnerável, enviando uma simples solicitação da Net para uma URL estática, disseram funcionários da ownCloud. avisou semana passada. Quatro dias após a divulgação de 21 de novembro, pesquisadores da empresa de segurança Greynoise disse, eles começaram a observar “exploração em massa” em seus servidores honeypot, que se disfarçavam como servidores ownCloud vulneráveis para rastrear tentativas de explorar a vulnerabilidade. O número de endereços IP que enviam solicitações da net aumentou lentamente desde então. No momento em que esta postagem foi ao ar no Ars, havia chegado a 13.
Pulverizando a Web
“Estamos vendo acessos ao endpoint específico que expõe informações confidenciais, o que seria considerado exploração”, disse Glenn Thorpe, diretor sênior de pesquisa de segurança e engenharia de detecção da Greynoise. disse em entrevista no Mastodonte. “No momento, vimos 13 IPs atingindo nossos sensores não anunciados, o que indica que eles estão praticamente espalhando-os pela Web para ver o que atinge.”
CVE-2023-49103 reside nas versões 0.2.0 e 0.3.0 do graphapi, um aplicativo que é executado em algumas implantações do ownCloud, dependendo da forma como estão configuradas. Uma biblioteca de códigos de terceiros usada pelo aplicativo fornece uma URL que, quando acessada, revela detalhes de configuração do ambiente baseado em PHP. Na divulgação da semana passada, os funcionários da ownCloud disseram que em configurações em contêineres – como aquelas que usam a ferramenta de virtualização Docker – a URL pode revelar dados usados para fazer login no servidor vulnerável. Os funcionários alertaram que simplesmente desabilitar o aplicativo nesses casos não period suficiente para bloquear um servidor vulnerável.
O comunicado ownCloud explicou:
O aplicativo “graphapi” depende de uma biblioteca de terceiros que fornece um URL. Quando esta URL é acessada, ela revela os detalhes de configuração do ambiente PHP (phpinfo). Esta informação inclui todas as variáveis de ambiente do servidor net. Em implantações em contêineres, essas variáveis de ambiente podem incluir dados confidenciais, como senha de administrador do ownCloud, credenciais do servidor de e-mail e chave de licença.
É importante enfatizar que simplesmente desabilitar o aplicativo Graphapi não elimina a vulnerabilidade. Além disso, o phpinfo expõe vários outros detalhes de configuração potencialmente confidenciais que podem ser explorados por um invasor para coletar informações sobre o sistema. Portanto, mesmo que o ownCloud não esteja sendo executado em um ambiente conteinerizado, esta vulnerabilidade ainda deve ser motivo de preocupação.
Nem todos os profissionais de segurança consideram a vulnerabilidade como uma ameaça generalizada, da mesma forma que outras vulnerabilidades – mais recentemente a vulnerabilidade rastreada como CVE-2023-4966 e CitrixBleed-ter. Especificamente, o pesquisador independente Kevin Beaumont notou que a vulnerabilidade CVE-2023-49103 não foi introduzida até 2020, não é explorável por padrão e só foi introduzida em contêineres em fevereiro.
“Não creio que mais alguém tenha verificado se o recurso vulnerável está ativado”, disse ele em entrevista. Além do mais, um ownCloud página da Web mostrou que o Graphapi tinha menos de 900 instalações no momento em que esta postagem foi publicada no Ars. Os funcionários da ownCloud não responderam imediatamente a um e-mail solicitando detalhes técnicos da vulnerabilidade e as condições precisas necessárias para que ela fosse explorada.
Dada a ameaça potencial representada pelo CVE-2023-49103, ainda há espaço para preocupações legítimas. De acordo com a organização de segurança Shadowserver, uma varredura recente revelou mais de 11.000 endereços IP hospedando servidores ownCloud, liderados por endereços na Alemanha, EUA, França, Rússia e Polônia. Mesmo que apenas uma pequena fração dos servidores esteja vulnerável, o potencial de danos é actual.
“Não é de surpreender que, dada a facilidade de exploração, começamos a ver tentativas do OwnCloud CVE-2023-49103”, escreveram funcionários do Shadowserver. “Esta é uma divulgação CVSS 10 de credenciais e configurações confidenciais em implantações em contêineres. Siga as etapas de mitigação do aconselhamento ownCloud.”
Mais vulnerabilidades ownCloud de alta gravidade
Outro motivo de preocupação: o ownCloud corrigiu recentemente duas outras vulnerabilidades de alta gravidade, incluindo CVE-2023-94105, que tem uma classificação de gravidade de 9,8. A falha permite um desvio de autenticação na API WebDAV usando URLs pré-assinados. Os hackers podem explorá-lo “para acessar, modificar ou excluir qualquer arquivo sem autenticação se o nome de usuário da vítima for conhecido e a vítima não tiver uma chave de assinatura configurada (que é o padrão)”, alertaram os funcionários do ownCloud. A vulnerabilidade afeta a API WebDAV nas versões ownCloud 10.6.0 a ten.13.0.
Uma terceira vulnerabilidade rastreada como CVE-2023-94104 é uma falha de desvio de validação de subdomínio com uma classificação de gravidade de 8,7. Os hackers podem explorá-lo usando um URL de redirecionamento, possibilitando redirecionar retornos de chamada para um domínio controlado pelo invasor.
Para corrigir a vulnerabilidade do ownCloud sob exploração, o ownCloud aconselhou os usuários a:
Exclua o arquivo
owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/assessments/GetPhpInfo.php.Além disso, desabilitamos a função phpinfo em nossos docker-containers. Aplicaremos vários reforços em versões principais futuras para mitigar vulnerabilidades semelhantes.Aconselhamos também alterar os seguintes segredos:
– senha de administrador do ownCloud
– Credenciais do servidor de correio
– Credenciais do banco de dados
– Chave de acesso Object-Retailer/S3
Embora não haja relatos de que as outras duas vulnerabilidades estejam sendo exploradas ativamente, os usuários devem seguir as instruções fornecidas pelo ownCloud. aqui e aqui.
Nos últimos meses, vulnerabilidades em aplicativos de compartilhamento de arquivos, como Servidor WS-FTP, Mova issoe IBM Aspera Faspexe Vá para qualquer lugar MFT permitiram o comprometimento de milhares de redes corporativas. Qualquer pessoa que ignore a ameaça representada pelas falhas recentemente corrigidas do ownCloud o faz por sua própria conta e risco.