Οι χάκερ εκμεταλλεύονται μια κρίσιμη ευπάθεια του ownCloud που παρακολουθείται ως CVE-2023-49103 που εκθέτει τους κωδικούς πρόσβασης διαχειριστή, τα διαπιστευτήρια διακομιστή αλληλογραφίας και τα κλειδιά άδειας χρήσης σε κοντέινερ αναπτύξεις.
Το ownCloud είναι μια ευρέως χρησιμοποιούμενη λύση συγχρονισμού και κοινής χρήσης αρχείων ανοιχτού κώδικα, σχεδιασμένη για όσους επιθυμούν να διαχειρίζονται και να μοιράζονται δεδομένα μέσω μιας αυτο-φιλοξενούμενης πλατφόρμας.
Σ
τι
ς 21 Νοεμβρίου, οι προγραμματιστές του λογισμικού δημοσίευσαν ενημερωτικά δελτία ασφαλείας για τρία τρωτά σημεία που θα μπορούσαν να οδηγήσουν σε παραβιάσεις δεδομένων, προτρέποντας τους διαχειριστές του ownCloud να εφαρμόσουν αμέσως τους προτεινόμενους μετριασμούς.
Από τα τρία ελαττώματα,
CVE-2023-49103
έλαβε μέγιστη βαθμολογία σοβαρότητας CVSS 10,0 καθώς επιτρέπει σε έναν απομακρυσμένο παράγοντα απειλής να εκτελέσει
phpinfo()
μέσω της
εφαρμογή
ς “graphapi” του ownCloud, η οποία αποκαλύπτει τις μεταβλητές περιβάλλοντος του διακομιστή, συμπεριλαμβανομένων των διαπιστευτηρίων που είναι αποθηκευμένα σε αυτές.
“Σε αναπτύξεις με κοντέινερ, αυτές οι μεταβλητές περιβάλλοντος μπορεί να περιλαμβάνουν ευαίσθητα δεδομένα, όπως τον κωδικό πρόσβασης διαχειριστή του ownCloud, τα διαπιστευτήρια διακομιστή αλληλογραφίας και το κλειδί άδειας χρήσης”, αναφέρεται στο
συμβουλευτική CVE-2023-49103
.
Επίσης, εάν άλλες υπηρεσίες στο ίδιο περιβάλλον χρησιμοποιούν τις ίδιες παραλλαγές και διαμορφώσεις, τα ίδια διαπιστευτήρια μπορούν να χρησιμοποιηθούν και για την πρόσβαση σε αυτές τις υπηρεσίες, επεκτείνοντας την παραβίαση.
Ενεργή εκμετάλλευση σε εξέλιξη
Δυστυχώς, η αξιοποίηση του CVE-2023-49103 για επιθέσεις κλοπής δεδομένων δεν είναι περίπλοκη και έχουν ήδη ανακαλυφθεί παράγοντες απειλών που εκμεταλλεύονται το ελάττωμα στις επιθέσεις.
Εταιρεία παρακολούθησης απειλών
Ο Greynoise ανέφερε
χθες ότι παρατήρησε μαζική εκμετάλλευση του ελαττώματος στη φύση ξεκινώντας στις 25 Νοεμβρίου 2023, με ανοδική τροχιά. Η Greynoise παρακολούθησε 12 μοναδικές διευθύνσεις IP που εκμεταλλεύονται το CVE-2023-49103.
Παρατηρούμενη δραστηριότητα εκμετάλλευσης
Πηγή: Greynoise
Shadowserver επίσης
αναφέρει παρόμοιες παρατηρήσεις
προειδοποιώντας ότι επί του παρόντος εντοπίζει πάνω από 11.000 ευάλωτες περιπτώσεις, με τις περισσότερες να βρίσκονται στη
Γερμανία
, τις Ηνωμένες Πολιτείες, τη Γαλλία και τη Ρωσία.
Χάρτης
θερμότητα
ς ευάλωτων τελικών σημείων
Πηγή: Shadowserver
Λόγω της αυξημένης εκμετάλλευσης αυτού του ελαττώματος, συνιστάται στους διαχειριστές του ownCloud να λάβουν άμεσα μέτρα για την αποκατάσταση του κινδύνου.
Η συνιστώμενη επιδιόρθωση είναι να διαγράψετε το αρχείο “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, να απενεργοποιήσετε τη λειτουργία “phpinfo” στα κοντέινερ Docker και να αλλάξετε δυνητικά εκτεθειμένα μυστικά, όπως τον κωδικό πρόσβασης διαχειριστή του ownCloud , διακομιστή αλληλογραφίας, διαπιστευτήρια βάσης δεδομένων και κλειδιά πρόσβασης Object-Store/S3.
Είναι σημαντικό να σημειωθεί ότι η απενεργοποίηση της εφαρμογής graphapi δεν μετριάζει την απειλή, η οποία είναι εξίσου σοβαρή τόσο για περιβάλλοντα με κοντέινερ όσο και για μη εμπορευματοκιβώτια.
Η μόνη περίπτωση που είναι ανθεκτική στο πρόβλημα αποκάλυψης διαπιστευτηρίων είναι τα κοντέινερ Docker που δημιουργήθηκαν πριν από τον Φεβρουάριο του 2023.
VIA:
bleepingcomputer.com