Getty Images
Sicherheitsforscher verfolgen die ihrer Meinung nach „massenhafte Ausnutzung“ einer Sicherheitslücke, die es ermöglicht, die vollständige Kontrolle über Server zu übernehmen, auf denen ownCloud, eine weit verbreitete Open-Source-Filesharing-Server-App, läuft.
Die Schwachstelle, die den maximalen Schweregrad 10 aufweist, ermöglicht es, Passwörter und kryptografische Schlüssel zu erhalten, die die administrative Kontrolle über einen anfälligen Server ermöglichen, indem eine einfache Webanfrage an eine statische URL gesendet wird, warnten Verantwortliche von ownCloud letzte Woche. Innerhalb von vier Tagen nach der Offenlegung am 21. November begannen Forscher des Sicherheitsunternehmens Greynoise, „Massenausnutzung“ auf ihren Honeypot-Servern zu beobachten, die sich als anfällige ownCloud-Server ausgaben, um Versuche, die Schwachstelle auszunutzen, zu verfolgen. Die Zahl der IP-Adressen, die die Webanfragen senden, ist seitdem langsam gestiegen. Als dieser Beitrag auf Ars online ging, hatte er bereits 13 erreicht.
Das Internet besprühen
„Wir sehen Angriffe auf den spezifischen Endpunkt, der sensible Informationen preisgibt, was als Ausbeutung angesehen werden würde“, sagte Glenn Thorpe, Senior Director für Sicherheitsforschung und Erkennungstechnik bei Greynoise, in einem Interview auf Mastodon. „Im Moment haben wir 13 IPs gesehen, die unsere unangekündigten Sensoren treffen, was darauf hindeutet, dass sie sie praktisch über das Internet verteilen, um zu sehen, was sie treffen.“
CVE-2023-49103 befindet sich in den Versionen 0.2.0 und 0.3.0 von graphapi, einer App, die je nach Konfiguration in einigen ownCloud-Bereitstellungen ausgeführt wird. Eine von der App verwendete Codebibliothek eines Drittanbieters stellt eine URL bereit, die beim Zugriff Konfigurationsdetails aus der PHP-basierten Umgebung offenlegt. In der Enthüllung von letzter Woche sagten Verantwortliche von ownCloud, dass in Containerkonfigurationen – etwa solchen, die das Docker-Virtualisierungstool verwenden – die URL Daten offenlegen kann, die für die Anmeldung beim anfälligen Server verwendet werden. Die Beamten warnten weiter, dass das einfache Deaktivieren der App in solchen Fällen nicht ausreiche, um einen anfälligen Server zu sperren.
Die ownCloud-Beratung erklärte:
Die „graphapi“-App basiert auf einer Drittanbieter-Bibliothek, die eine URL bereitstellt. Wenn auf diese URL zugegriffen wird, werden die Konfigurationsdetails der PHP-Umgebung (phpinfo) angezeigt. Diese Informationen umfassen alle Umgebungsvariablen des Webservers. In Container-Bereitstellungen können diese Umgebungsvariablen vertrauliche Daten wie das ownCloud-Administratorkennwort, die Anmeldeinformationen des Mailservers und den Lizenzschlüssel umfassen.
Es ist wichtig zu betonen, dass die Schwachstelle nicht durch einfaches Deaktivieren der Graphapi-App behoben wird. Darüber hinaus legt phpinfo verschiedene andere potenziell sensible Konfigurationsdetails offen, die von einem Angreifer ausgenutzt werden könnten, um Informationen über das System zu sammeln. Selbst wenn ownCloud nicht in einer Containerumgebung ausgeführt wird, sollte diese Schwachstelle daher dennoch Anlass zur Sorge geben.
Nicht alle Sicherheitsexperten betrachten die Schwachstelle als weit verbreitete Bedrohung, wie dies bei anderen Schwachstellen der Fall ist – zuletzt der Schwachstelle CVE-2023-4966 und CitrixBleed. Konkret hat der unabhängige Forscher Kevin Beaumont festgestellt, dass die Schwachstelle CVE-2023-49103 erst im Jahr 2020 entdeckt wurde, standardmäßig nicht ausgenutzt werden kann und erst im Februar in Containern eingeführt wurde.
„Ich glaube nicht, dass irgendjemand sonst tatsächlich überprüft hat, ob die anfällige Funktion aktiviert ist“, sagte er in einem Interview. Darüber hinaus zeigte eine ownCloud-Webseite, dass Graphapi zum Zeitpunkt der Veröffentlichung dieses Beitrags auf Ars weniger als 900 Installationen hatte. Die Verantwortlichen von ownCloud antworteten nicht sofort auf eine E-Mail mit der Bitte um technische Einzelheiten der Sicherheitslücke und die genauen Bedingungen für deren Ausnutzung.
Angesichts der potenziellen Bedrohung durch CVE-2023-49103 besteht immer noch Anlass zu berechtigter Sorge. Nach Angaben der Sicherheitsorganisation Shadowserver hat ein aktueller Scan mehr als 11.000 IP-Adressen aufgedeckt, auf denen ownCloud-Server gehostet werden, angeführt von Adressen in Deutschland, den USA, Frankreich, Russland und Polen. Selbst wenn nur ein kleiner Teil der Server angreifbar ist, besteht ein reales Schadenspotenzial.
„Angesichts der einfachen Ausnutzbarkeit überrascht es nicht, dass wir begonnen haben, OwnCloud CVE-2023-49103-Versuche zu sehen“, schrieben die Verantwortlichen von Shadowserver. „Dies ist eine CVSS 10-Offenlegung sensibler Anmeldeinformationen und Konfigurationen in Container-Bereitstellungen. Bitte befolgen Sie die Abhilfemaßnahmen der ownCloud-Beratung.“
Weitere Schwachstellen von ownCloud mit hohem Schweregrad
Ein weiterer Grund zur Sorge: ownCloud hat kürzlich zwei weitere Sicherheitslücken mit hohem Schweregrad behoben, darunter CVE-2023-94105 mit einem Schweregrad von 9,8. Der Fehler ermöglicht eine Umgehung der Authentifizierung in der WebDAV-API mithilfe vorsignierter URLs. Hacker können es ausnutzen, „um ohne Authentifizierung auf jede Datei zuzugreifen, sie zu ändern oder zu löschen, wenn der Benutzername des Opfers bekannt ist und das Opfer keinen Signaturschlüssel konfiguriert hat (was die Standardeinstellung ist)“, warnten Beamte von ownCloud. Die Schwachstelle betrifft die WebDAV-API in den ownCloud-Versionen 10.6.0 bis 10.13.0.
Eine dritte Schwachstelle, die als CVE-2023-94104 verfolgt wird, ist ein Fehler bei der Umgehung der Subdomain-Validierung mit einem Schweregrad von 8,7. Hacker können es mithilfe einer Weiterleitungs-URL ausnutzen und so Rückrufe an eine vom Angreifer kontrollierte Domäne umleiten.
Um die auszunutzende OwnCloud-Schwachstelle zu beheben, empfahl ownCloud den Benutzern Folgendes:
Löschen Sie die Datei
owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php.Darüber hinaus haben wir die PHPInfo-Funktion in unseren Docker-Containern deaktiviert. Wir werden in zukünftigen Kernversionen verschiedene Härtungsverfahren anwenden, um ähnliche Schwachstellen abzuschwächen.Wir empfehlen außerdem, die folgenden Geheimnisse zu ändern:
– ownCloud-Administratorkennwort
– Anmeldeinformationen für den Mailserver
– Datenbankanmeldeinformationen
– Object-Store/S3-Zugriffsschlüssel
Obwohl es keine Berichte darüber gibt, dass die anderen beiden Schwachstellen aktiv ausgenutzt werden, sollten Benutzer den Anweisungen folgen, die ownCloud hier und hier bereitgestellt hat.
In den letzten Monaten haben Schwachstellen in Filesharing-Apps wie WS-FTP-Server, MOVEit, IBM Aspera Faspex und GoAnywhere MFT die Kompromittierung Tausender Unternehmensnetzwerke ermöglicht. Wer die Bedrohung durch die kürzlich behobenen ownCloud-Mängel ignoriert, tut dies auf eigene Gefahr.