Kritieke ownCloud-kwetsbaarheid laat aanvaller adminwachtwoord stelen
Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn.
OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen.
De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens.
OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn.
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?
Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.
De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.
Owncloud wordt "beheerd" voor een venture geldschieter.
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?
Volgens nextcloud support heeft nextcloud er geen last van: https://help.nextcloud.com/t/does-cve-2023-49103-affect-nextcloud/175381/2
https://f-droid.org/en/packages/org.cryptomator.lite/
Versleutelen via bijv. 7zip alvorens de bestanden in de cloud te zetten is ook mogelijk.
Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.
De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.
Owncloud wordt "beheerd" voor een venture geldschieter.
Dit bestand moet je weggooien: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
en phpinfo disablen en credentials vervangen natuurlijk.
Phpinfo laat o.a environment variabelen zien.
Een van de variabelen was het admin wachtwoord.
Een voirwaarde voor breach is dus ook hetdraaien in een container.
Statement nextcloud:
https://nextcloud.com/blog/security-statement/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
