Nieuws

Kritieke ownCloud-kwetsbaarheid laat aanvaller adminwachtwoord stelen

woensdag 29 november 2023, 10:19 door Redactie, 9 reacties

Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn.

OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen.

De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens.

OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn.

Authenticatieplatform Okta lekt gegevens van alle klanten die support zochten

Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude

Reacties (9)

Reageer met quote

29-11-2023, 10:50 door Anoniem

NextCloud is ooit begonnen als fork van OwnCloud, geld dit nog steeds vandaag de dag?
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?

Reageer met quote

29-11-2023, 12:31 door Anoniem

Niet direct, het is een probleem dat admin wachtwoord in een envirinment variabele staat, er is een probleem met een vendor/microsoft module, en er zwervenphpinfi.php scripts rond.

Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.

De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.

Owncloud wordt "beheerd" voor een venture geldschieter.

Reageer met quote

29-11-2023, 12:45 door Anoniem

Door Anoniem: NextCloud is ooit begonnen als fork van OwnCloud, geld dit nog steeds vandaag de dag?
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?

Volgens nextcloud support heeft nextcloud er geen last van: https://help.nextcloud.com/t/does-cve-2023-49103-affect-nextcloud/175381/2

Reageer met quote

29-11-2023, 13:01 door Anoniem

Hoezo kunnen genoemde inloggegevens met phpinfo bekeken worden? Wanneer wordt er eindelijk eens afstand gedaan van php?

Reageer met quote

29-11-2023, 13:07 door Anoniem

Het gebruik van applicaties zoals crytomator is erg belangrijk, zelfs met de toegang van onbevoegden zijn de bestanden dan nog steeds versleuteld.
https://f-droid.org/en/packages/org.cryptomator.lite/
Versleutelen via bijv. 7zip alvorens de bestanden in de cloud te zetten is ook mogelijk.

Reageer met quote

29-11-2023, 13:56 door Anoniem

Door Anoniem: Niet direct, het is een probleem dat admin wachtwoord in een envirinment variabele staat, er is een probleem met een vendor/microsoft module, en er zwervenphpinfi.php scripts rond.

Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.

De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.

Owncloud wordt "beheerd" voor een venture geldschieter.

Ja hoor Microsoft weer! The “graphapi” app relies on a third-party library. Wat doet MS hier eigenlijk?
Dit bestand moet je weggooien: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
en phpinfo disablen en credentials vervangen natuurlijk.

Reageer met quote

30-11-2023, 00:08 door Anoniem

Door Anoniem: Hoezo kunnen genoemde inloggegevens met phpinfo bekeken worden? Wanneer wordt er eindelijk eens afstand gedaan van php?

In docker omgevingen wordt de container vaak met environment variabelen geconfigureerd...
Phpinfo laat o.a environment variabelen zien.
Een van de variabelen was het admin wachtwoord.

Een voirwaarde voor breach is dus ook hetdraaien in een container.

Statement nextcloud:
https://nextcloud.com/blog/security-statement/

Reageer met quote

30-11-2023, 19:11 door Anoniem

Uitkijken met maak het wachtwoord zichtbaar.

Reageer met quote

22-10-2024, 05:20 door adambra

Een third-party bibliotheek is nodig voor de "grafische" applicatie. Dit is het bestand dat verwijderd moet worden: https://f-droid.org/en/packages/org.cryptomator.lite/ https://slice-master.io

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Apart wifi-gastnetwerk thuis:

Vacature

Information Security Officer (Operationele Techniek)

bij HHNK

Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.

Lees meer

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Kritieke ownCloud-kwetsbaarheid laat aanvaller adminwachtwoord stelen

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Apart wifi-gastnetwerk thuis:

Wachtwoord Vergeten

Password Reset

Registreren