image

Kritieke ownCloud-kwetsbaarheid laat aanvaller adminwachtwoord stelen

woensdag 29 november 2023, 10:19 door Redactie, 9 reacties

Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn.

OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen.

De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens.

OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn.

Reacties (9)
29-11-2023, 10:50 door Anoniem
NextCloud is ooit begonnen als fork van OwnCloud, geld dit nog steeds vandaag de dag?
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?
29-11-2023, 12:31 door Anoniem
Niet direct, het is een probleem dat admin wachtwoord in een envirinment variabele staat, er is een probleem met een vendor/microsoft module, en er zwervenphpinfi.php scripts rond.

Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.

De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.

Owncloud wordt "beheerd" voor een venture geldschieter.
29-11-2023, 12:45 door Anoniem
Door Anoniem: NextCloud is ooit begonnen als fork van OwnCloud, geld dit nog steeds vandaag de dag?
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?

Volgens nextcloud support heeft nextcloud er geen last van: https://help.nextcloud.com/t/does-cve-2023-49103-affect-nextcloud/175381/2
29-11-2023, 13:01 door Anoniem
Hoezo kunnen genoemde inloggegevens met phpinfo bekeken worden? Wanneer wordt er eindelijk eens afstand gedaan van php?
29-11-2023, 13:07 door Anoniem
Het gebruik van applicaties zoals crytomator is erg belangrijk, zelfs met de toegang van onbevoegden zijn de bestanden dan nog steeds versleuteld.
https://f-droid.org/en/packages/org.cryptomator.lite/
Versleutelen via bijv. 7zip alvorens de bestanden in de cloud te zetten is ook mogelijk.
29-11-2023, 13:56 door Anoniem
Door Anoniem: Niet direct, het is een probleem dat admin wachtwoord in een envirinment variabele staat, er is een probleem met een vendor/microsoft module, en er zwervenphpinfi.php scripts rond.

Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.

De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.

Owncloud wordt "beheerd" voor een venture geldschieter.
Ja hoor Microsoft weer! The “graphapi” app relies on a third-party library. Wat doet MS hier eigenlijk?
Dit bestand moet je weggooien: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
en phpinfo disablen en credentials vervangen natuurlijk.
30-11-2023, 00:08 door Anoniem
Door Anoniem: Hoezo kunnen genoemde inloggegevens met phpinfo bekeken worden? Wanneer wordt er eindelijk eens afstand gedaan van php?
In docker omgevingen wordt de container vaak met environment variabelen geconfigureerd...
Phpinfo laat o.a environment variabelen zien.
Een van de variabelen was het admin wachtwoord.

Een voirwaarde voor breach is dus ook hetdraaien in een container.

Statement nextcloud:
https://nextcloud.com/blog/security-statement/
30-11-2023, 19:11 door Anoniem
Uitkijken met maak het wachtwoord zichtbaar.
22-10-2024, 05:20 door adambra
Een third-party bibliotheek is nodig voor de "grafische" applicatie. Dit is het bestand dat verwijderd moet worden: https://f-droid.org/en/packages/org.cryptomator.lite/ https://slice-master.io
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.