Em 21 de novembro de 2023 a ownCloud anunciou três grandes vulnerabilidades nas suas bibliotecas principais (CVE-2023-49105), oauth (CVE-2023-49104) e graphapi (CVE-2023-49103).
O pacote de produtos Edgio Security pode acelerar a correção de dia zero, permitindo a aplicação de patches virtuais, ajudando a manter-se à frente dessas ameaças em constante evolução. Embora proporcionemos proteção contra essas ameaças aos nossos clientes através das nossas regras padrão, é altamente recomendável tomar as ações recomendadas de acordo com as instruções do fornecedor para todos os dispositivos afetados também. Se tiver dúvidas ou precisar de suporte adicional para salvaguardar a sua instância ownCloud, contacte o email tickets@edg.io do Edgio SOC para obter assistência.
Recomendações:
Divulgação de credenciais confidenciais e configuração em implantações em contentores (CVE-2023-49103):
- Pontuação CVSS: 10,0 CRÍTICO
- Impacto: Esta vulnerabilidade crítica afeta ownCloud/graphapi versões 0,2.x antes de 0.2.1 e 0,3.x antes de 0,3.1. Ele expõe detalhes de configuração do ambiente PHP, incluindo dados confidenciais, como a senha de administrador ownCloud, credenciais do servidor de email e chaves de licença Desativar a aplicação graphapi não elimina a vulnerabilidade.
- Ação: Exclua o arquivo owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. Desativar a função do phpinfo em docker-containers. Altere a palavra-passe de administrador do ownCloud, as credenciais do servidor de correio, as credenciais da base de dados e o key de acesso do Object-Store/S3.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
Bypass de validação de subdomínio (CVE-2023-49104):
- CVSS Pontuação: 8,7 ALTA
- Impacto: Esta vulnerabilidade crítica afeta as versões ownCloud/oauth2 anteriores à 0,6.1. Ele permite que um invasor passe um url de redirecionamento especialmente criado, que ignora qualquer validação de URL de redirecionamento e redireciona retornos de chamada para qualquer domínio de nível superior alternativo controlado pelo invasor quando a função “permitir subdomínios” está ativada.
- Ação: Endurecer o código de validação de atributos na aplicação oauth2. Como solução alternativa, a opção “Allow Subdomains” pode ser desativada para proteger contra a vulnerability.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
Ignorar a autenticação da API WebDAV usando URLs pré-assinadas (CVE-2023-49105):
- CVSS Pontuação: 9,8 CRÍTICO
- Impacto: Este problema de alto risco afeta ownCloud/core versões 10.6.0 a 10.13.0. Um intruso pode aceder, modificar ou eliminar qualquer ficheiro sem autenticação se souber o nome de utilizador da vítima e a vítima não tiver uma chave de assinatura configurada.
- Ação: Negar o uso de URLs pré-assinadas se a chave de assinatura não estiver configurada para o proprietário do files.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
É essencial que os utilizadores e administradores da ownCloud analisem regularmente avisos de segurança e implementem medidas sugeridas para proteger os seus sistemas.