imágenes falsas
Los investigadores de seguridad están rastreando lo que dicen es la «explotación masiva» de una vulnerabilidad de seguridad que hace posible tomar el control total de los servidores que ejecutan ownCloud, una aplicación de servidor de intercambio de archivos de código abierto ampliamente utilizada.
La vulnerabilidad, que tiene una clasificación de gravedad máxima de 10, permite obtener contraseñas y claves criptográficas que permiten el control administrativo de un servidor vulnerable enviando una simple solicitud web a una URL estática, advirtieron los funcionarios de ownCloud la semana pasada. Cuatro días después de la divulgación del 21 de noviembre, dijeron investigadores de la firma de seguridad Greynoise, comenzaron a observar «explotación masiva» en sus servidores honeypot, que se hacían pasar por servidores vulnerables de ownCloud para rastrear los intentos de explotar la vulnerabilidad. El número de direcciones IP que envían solicitudes web ha aumentado lentamente desde entonces. En el momento en que esta publicación se publicó en Ars, había llegado a 13.
Rociando Internet
«Estamos viendo ataques al punto final específico que expone información confidencial, lo que se consideraría explotación», dijo Glenn Thorpe, director senior de investigación de seguridad e ingeniería de detección en Greynoise, en una entrevista en Mastodon. «Por el momento, hemos visto 13 IP que están llegando a nuestros sensores no anunciados, lo que indica que prácticamente las están difundiendo por Internet para ver qué llega».
CVE-2023-49103 reside en las versiones 0.2.0 y 0.3.0 de Graphapi, una aplicación que se ejecuta en algunas implementaciones de ownCloud, según la forma en que estén configuradas. Una biblioteca de códigos de terceros utilizada por la aplicación proporciona una URL que, cuando se accede, revela detalles de configuración del entorno basado en PHP. En la divulgación de la semana pasada, los funcionarios de ownCloud dijeron que en configuraciones en contenedores, como aquellas que usan la herramienta de virtualización Docker, la URL puede revelar datos utilizados para iniciar sesión en el servidor vulnerable. Los funcionarios advirtieron que simplemente deshabilitar la aplicación en tales casos no era suficiente para bloquear un servidor vulnerable.
El aviso de ownCloud explicó:
La aplicación «graphapi» se basa en una biblioteca de terceros que proporciona una URL. Cuando se accede a esta URL, se revelan los detalles de configuración del entorno PHP (phpinfo). Esta información incluye todas las variables de entorno del servidor web. En implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales, como la contraseña del administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia.
Es importante enfatizar que simplemente deshabilitar la aplicación Graphapi no elimina la vulnerabilidad. Además, phpinfo expone otros detalles de configuración potencialmente confidenciales que un atacante podría aprovechar para recopilar información sobre el sistema. Por lo tanto, incluso si ownCloud no se ejecuta en un entorno en contenedores, esta vulnerabilidad debería ser motivo de preocupación.
No todos los profesionales de la seguridad consideran que la vulnerabilidad representa una amenaza generalizada, como lo hacen otras vulnerabilidades (más recientemente la vulnerabilidad rastreada como CVE-2023-4966 y CitrixBleed). Específicamente, el investigador independiente Kevin Beaumont señaló que la vulnerabilidad CVE-2023-49103 no se introdujo hasta 2020, no es explotable de forma predeterminada y solo se introdujo en contenedores en febrero.
«No creo que nadie más haya verificado si la característica vulnerable está habilitada», dijo en una entrevista. Es más, una página web de ownCloud mostró que Graphapi tenía menos de 900 instalaciones en el momento en que esta publicación se publicó en Ars. Los funcionarios de ownCloud no respondieron de inmediato a un correo electrónico en busca de detalles técnicos de la vulnerabilidad y las condiciones precisas requeridas para ser explotada.
Dada la amenaza potencial que representa CVE-2023-49103, todavía hay lugar para una preocupación legítima. Según la organización de seguridad Shadowserver, un análisis reciente reveló más de 11.000 direcciones IP que alojan servidores ownCloud, encabezadas por direcciones en Alemania, EE. UU., Francia, Rusia y Polonia. Incluso si sólo una pequeña fracción de los servidores es vulnerable, el potencial de daño es real.
«No es sorprendente que, dada la facilidad de explotación, hayamos comenzado a ver intentos de OwnCloud CVE-2023-49103», escribieron los funcionarios de Shadowserver. “Esta es una divulgación CVSS 10 de credenciales y configuraciones confidenciales en implementaciones en contenedores. Siga los pasos de mitigación del aviso de ownCloud «.
Más vulnerabilidades de ownCloud de alta gravedad
Otro motivo de preocupación: ownCloud solucionó recientemente otras dos vulnerabilidades de alta gravedad, incluida CVE-2023-94105, que tiene una clasificación de gravedad de 9,8. La falla permite omitir la autenticación en la API WebDAV utilizando URL prefirmadas. Los piratas informáticos pueden explotarlo «para acceder, modificar o eliminar cualquier archivo sin autenticación si se conoce el nombre de usuario de la víctima y la víctima no tiene una clave de firma configurada (que es la opción predeterminada)», advirtieron los funcionarios de ownCloud. La vulnerabilidad afecta a la API WebDAV en las versiones 10.6.0 a 10.13.0 de ownCloud.
Una tercera vulnerabilidad identificada como CVE-2023-94104 es una falla de omisión de validación de subdominio con una calificación de gravedad de 8,7. Los piratas informáticos pueden explotarlo utilizando una URL de redireccionamiento, lo que permite redirigir las devoluciones de llamada a un dominio controlado por el atacante.
Para corregir la vulnerabilidad de ownCloud en explotación, ownCloud recomendó a los usuarios que:
Eliminar el archivo
owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php.Además, deshabilitamos la función phpinfo en nuestros contenedores acoplables. Aplicaremos varios refuerzos en futuras versiones principales para mitigar vulnerabilidades similares.También recomendamos cambiar los siguientes secretos:
– contraseña de administrador de ownCloud
– Credenciales del servidor de correo
– Credenciales de base de datos
– Almacén de objetos/clave de acceso S3
Si bien no hay informes de que las otras dos vulnerabilidades se estén explotando activamente, los usuarios deben seguir las instrucciones que ownCloud ha proporcionado aquí y aquí.
En los últimos meses, las vulnerabilidades en aplicaciones para compartir archivos como el servidor WS-FTP, MOVEit, IBM Aspera Faspex y GoAnywhere MFT han permitido el compromiso de miles de redes empresariales. Cualquiera que ignore la amenaza que representan las fallas recientemente reparadas de ownCloud lo hace bajo su propio riesgo.