Il 21 novembre 2023 ownCloud ha annunciato tre vulnerabilità principali nelle librerie core (CVE-2023-49105), oauth (CVE-2023-49104) e graphapi (CVE-2023-49103).
La suite di prodotti Edgio Security consente di velocizzare la risoluzione zero-day grazie all’attivazione di patch virtuali, contribuendo a mantenere il passo con queste minacce in continua evoluzione. Sebbene forniamo protezione da queste minacce ai nostri clienti attraverso le nostre regole predefinite, consigliamo vivamente di adottare le azioni consigliate in base alle istruzioni del fornitore anche per tutti i dispositivi interessati. In caso di dubbi o di necessità di ulteriore supporto per proteggere l’istanza ownCloud, contattare Edgio SOC e-mail tickets@edg.io per assistenza.
Raccomandazioni:
Divulgazione di credenziali sensibili e configurazione nelle distribuzioni containerizzate (CVE-2023-49103):
- Punteggio CVSS: 10,0 CRITICO
- Impatto: Questa vulnerabilità critica interessa le versioni 0,2.x di ownCloud/graphapi precedenti alla 0.2.1 e 0,3.x precedenti alla 0,3.1. Espone i dettagli di configurazione dell’ambiente PHP, inclusi i dati sensibili come la password amministratore di ownCloud, le credenziali del server di posta e le chiavi di licenza La semplice disattivazione dell’app graphapi non elimina la vulnerabilità.
- Azione: Eliminare il file owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. Disattivare la funzione phpinfo in docker-Containers. Modificare la password amministratore di ownCloud, le credenziali del server di posta, le credenziali del database e l’accesso a Object-Store/S3 key.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
Bypass convalida sottodominio (CVE-2023-49104):
- Punteggio CVSS: 8,7 ALTO
- Impatto: Questa vulnerabilità critica interessa le versioni di ownCloud/oauth2 precedenti alla 0,6.1. “Consente a un utente malintenzionato di passare un url di reindirizzamento appositamente predisposto, che ignora qualsiasi convalida dell’URL di reindirizzamento e reindirizza le richiamate a qualsiasi dominio di livello superiore alternativo controllato dall’utente malintenzionato quando la funzione “Consenti sottodomini” è attivata.”
- Azione: Rafforzare il codice di convalida dell’attributo nell’app oauth2. Come soluzione, l’opzione “Consenti sottodomini” può essere disattivata per proteggere da vulnerability.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
Elusione dell’autenticazione API WebDAV tramite URL prefirmati (CVE-2023-49105):
- Punteggio CVSS: 9,8 CRITICO
- Impatto: Questo problema ad alto rischio interessa ownCloud/core versioni da 10.6.0 a 10.13.0. Un utente malintenzionato può accedere, modificare o eliminare qualsiasi file senza autenticazione se conosce il nome utente della vittima e la vittima non dispone di una chiave di firma configurata.
- Azione: Negare l’uso di URL prefirmati se “Signing-key” non è configurato per il proprietario del files.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
È essenziale per gli utenti e gli amministratori di ownCloud rivedere regolarmente gli avvisi di sicurezza e implementare misure suggerite per proteggere i loro sistemi.