ownCloud の脆弱性は最大重大度スコア 10 で、「大規模」エクスプロイトとみなされます – Ars Technica

セキュリティ研究者らは、広く使用されているオープンソースのファイル共有サーバー アプリケーションであるownCloudを実行しているサーバーの完全な制御を可能にする脆弱性の「大量悪用」であるとされるものを追跡しています。

ownCloud関係者によると、この脆弱性は最大深刻度10で、単純なWebリクエストを静的URLに送信することで、脆弱なサーバーの管理制御を取得できるパスワードと暗号化キーを取得できるという。 注意する 先週。 11 月 21 日の暴露から 4 日以内に、セキュリティ会社 Greynoise の研究者がそれを発見しました。 彼は言ったは、脆弱性を悪用する試みを追跡するために、脆弱なプライベート サーバーを装ったハニーポット サーバー内の「大量エクスプロイト」に気づき始めました。 それ以来、Web リクエストを送信する IP アドレスの数は徐々に増加してきました。 この投稿がアルスに公開された時点で、投稿数は 13 に達していました。

インターネットスプレー

Greynoise のセキュリティ研究および検出エンジニアリング担当シニア ディレクターのグレン ソープ氏は、「機密情報を公開する特定のエンドポイントへの攻撃が確認されています。これはエクスプロイトとみなされる可能性があります」と述べています。 彼はインタビューでこう言った マストドンで。 「現在、13 個の IP アドレスが予告なくセンサーに到着しているのが確認されています。これは、何が起こっているかを確認するためにインターネット上に IP アドレスを拡散していることを示唆しています。」

CVE-2023-49103 は、構成方法に応じて、一部の ownCloud デプロイメントで実行されるアプリケーションである、graphapi のバージョン 0.2.0 および 0.3.0 に存在します。 アプリケーションで使用されるサードパーティのコード ライブラリは、アクセスすると PHP ベースの環境からの構成の詳細を表示する URL を提供します。 ownCloud関係者は先週の開示で、コンテナ構成（Docker仮想化ツールを使用する構成など）では、脆弱なサーバーへのログインに使用されたデータがURLから明らかになる可能性があると述べた。 当局はさらに、このような場合に単にアプリを無効にするだけでは脆弱なサーバーを保護するのに十分ではないと警告した。

ownCloud のコンサルテーションでは次のように説明されました。

「graphapi」は、URL を提供するサードパーティのライブラリに依存します。 この URL にアクセスすると、PHP 環境 (phpinfo) の構成の詳細が公開されます。 この情報には、Web サーバーのすべての環境変数が含まれます。 コンテナ化された展開では、これらの環境変数には、ownCloud 管理者のパスワード、メール サーバーの資格情報、ライセンス キーなどの機密データが含まれる場合があります。

単にgraphapiを無効にするだけでは脆弱性は除去されないことを強調することが重要です。 さらに、phpinfo は、攻撃者がシステムに関する情報を収集するために悪用する可能性のある他のいくつかの機密性の高い構成の詳細を公開します。 したがって、ownCloud がコンテナ環境で実行されていない場合でも、この脆弱性は依然として懸念の原因となります。

すべてのセキュリティ専門家が、他の脆弱性と同様に、この脆弱性が広範な脅威であると考えているわけではありません。最近では、CVE-2023-4966 および CitrixBleed として追跡されている脆弱性があります。 具体的には、独立研究者のケビン・ボーモント氏 彼は気が付いた この脆弱性 CVE-2023-49103 は 2020 年まで導入されず、デフォルトでは悪用可能ではなく、2 月にコンテナに導入されただけです。

同氏はインタビューで「脆弱な機能が有効になっていることを実際に検証した人は他にいないと思う」と述べた。 さらに、ownCloud ウェブページ この投稿が Ars で公開された時点で、graphapi のインストール数が 900 未満であったことを示します。 ownCloudの担当者は、脆弱性に関する技術的な詳細と、それを悪用するために必要な正確な条件を求める電子メールにすぐには返答しなかった。

CVE-2023-49103 によってもたらされる潜在的な脅威を考慮すると、正当な懸念の余地がまだあります。 セキュリティ組織シャドウサーバーによると、最近のスキャンで明らかになった 11,000 を超える IP アドレス ownCloud サーバーをホストしており、主にドイツ、米国、フランス、ロシア、ポーランドにアドレスがあります。 たとえサーバーのごく一部が侵害されたとしても、損害が発生する可能性は現実にあります。

「悪用の容易さを考えると、OwnCloud CVE-2023-49103 に対する試みが確認され始めているのは驚くべきことではありません」と Shadowserver 関係者は書いています。 「これは、コンテナ化された展開における機密の認証情報と構成の CVSS 10 の暴露です。ownCloud の勧告による緩和手順に従ってください。」

より高リスクのクラウド固有の脆弱性

懸念されるもう 1 つの理由は、ownCloud が最近、重大度スコア 9.8 の CVE-2023-94105 を含む、他の 2 つの高リスク脆弱性を修正したことです。 この欠陥により、事前署名された URL を使用して WebDAV API で認証がバイパスされる可能性があります。 ownCloud関係者は、ハッカーが悪用して「被害者のユーザー名がわかっていて、被害者の署名鍵（デフォルト）が設定されていない場合、認証なしであらゆるファイルにアクセス、変更、削除」できる可能性があると警告した。 この脆弱性は、ownCloud バージョン 10.6.0 ～ 10.13.0 の WebDAV API に影響します。

CVE-2023-94104 として追跡されている 3 番目の脆弱性は、サブドメイン検証バイパスの欠陥で、深刻度は 8.7 です。 ハッカーはリダイレクト URL を使用してこれを悪用し、攻撃者が制御するドメインにコールバックをリダイレクトすることが可能になります。

悪用されているownCloudの脆弱性を修正するために、ownCloudはユーザーに次のことを推奨しています。

ファイルを削除する owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. さらに、Docker コンテナーの phpinfo 機能を無効にしました。 今後のコア リリースでは、同様の脆弱性を軽減するためにさまざまな強化措置を実装する予定です。

次のシークレットを変更することもお勧めします。
– ownCloud 管理者パスワード
-メールサーバーの認証情報
– データベース認証情報
– オブジェクトストア/S3 アクセスキー

他の脆弱性が積極的に悪用されているという報告はありませんが、ユーザーはownCloud が提供する指示に従う必要があります。 ここ そして ここ。

ここ数カ月間、WS-FTP サーバー、MOVEit、IBM Aspera Faspex、GoAnywhere MFT などのファイル共有アプリケーションの脆弱性により、数千の企業ネットワークがハッキングされるようになりました。 最近パッチが適用されたownCloudの欠陥によってもたらされる脅威を無視する人は、自らの責任でそれを行うことになります。