Хакери використовують критичну вразливість ownCloud, відстежувану як CVE-2023-49103. Вона розкриває паролі адміністратора, облікові дані поштового сервера та ліцензійні ключі у контейнерних розгортаннях, повідомляє Bleeping Computer.
ownCloud – це широко розповсюджене рішення для синхронізації й обміну файлами з відкритим вихідним кодом, призначене для тих, хто бажає керувати даними та ділитися ними через власну платформу.
21 листопада розробники програмного забезпечення опублікували бюлетені безпеки щодо трьох уразливостей, які можуть призвести до витоку даних, закликаючи адміністраторів ownCloud негайно застосувати рекомендовані засоби пом’якшення.
Із трьох недоліків CVE-2023-49103 максимальний бал серйозності отримав CVSS 10,0, оскільки він дає змогу віддаленому учаснику загрози виконувати phpinfo() через застосунок ownCloud graphapi, який розкриває змінні середовища сервера, включно з обліковими даними, що зберігаються у них.
«У контейнерних розгортаннях ці змінні середовища можуть містити конфіденційні дані, такі як пароль адміністратора ownCloud, облікові дані поштового сервера та ліцензійний ключ», – йдеться у повідомленні CVE-2023-49103.
Крім того, якщо інші служби в тому самому середовищі використовують ті самі варіанти та конфігурації, ті самі облікові дані, можна також використовувати для доступу до цих служб, розширюючи порушення.
Триває активна експлуатація
На жаль, використання CVE-2023-49103 для атак із крадіжкою даних не є складним, і вже було виявлено зловмисників, які використовують її в атаках.
Так, фірма з відстеження загроз Greynoise повідомила, що спостерігала масове використання вразливості, починаючи з 25 листопада 2023 року, із траєкторією, що зростала. Фахівці Greynoise відстежили 12 унікальних IP-адрес, які використовували CVE-2023-49103.
Shadowserver також повідомляє про подібні спостереження, попереджаючи, що наразі він виявив понад 11 тисяч викритих екземплярів, більшість із яких розташовані в Німеччині, США, Франції та росії.
У зв’язку з поширеним використанням цієї вади адміністраторам ownCloud рекомендується вжити негайних заходів для усунення ризику.
Рекомендоване виправлення – видалити файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php, вимкнути функцію phpinfo у контейнерах Docker і змінити пароль адміністратора ownCloud, поштовий сервер, облікові дані бази даних і ключі доступу Object-Store/S3.
Важливо зазначити, що вимкнення програми graphapi не зменшує загрозу, яка однаково серйозна як для контейнерних, так і для неконтейнерних середовищ.
Єдиний випадок, стійкий до проблеми розкриття облікових даних, – це контейнери Docker, створені до лютого 2023 року.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!