Sicherheitslücke in ownCloud entdeckt: Was man darüber wissen sollte!

Kommentare
1

Rückenansicht eines vermummten Hackers vor einem Computer
Rückenansicht eines vermummten Hackers vor einem Computer2000×1335 541 KB

Kommentare zu folgendem Beitrag: Sicherheitslücke in ownCloud entdeckt: Was man darüber wissen sollte!

2

GreyNoise Labs - Autor Ron Bowes

29.11.2023 Ursprünglicher Beitrag

Anfang dieser Woche haben wir einen Tag für CVE-2023-49103 veröffentlicht und festgestellt, dass Angreifer versuchten, die Sicherheitslücke auszunutzen. Wir haben einen Blog darüber geschrieben und die Rückmeldung erhalten , dass Docker-Installationen offenbar nicht angreifbar sind. Das war ein ziemliches Rätsel!

Die Grundidee der Sicherheitslücke besteht darin, dass ein standardmäßig in ownCloud enthaltenes Skript ausgeführt wird phpinfo()und dem Benutzer die Ergebnisse anzeigt:

/owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

oder:

/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

Die phpinfo()Funktion gibt eine Reihe von Systeminformationen aus, einschließlich Umgebungsvariablen. Da die Docker-Installation von ownCloud, wie viele (die meisten?) Docker-Installationen, Anmeldeinformationen in der Umgebung weitergibt, würde die Offenlegung der Umgebung auch Anmeldeinformationen offenlegen (einschließlich des Standard-Administratorkennworts, des MySQL-Kennworts und anderer).

30.11.2023 Update Nr. 1

Der ursprüngliche Forscher hat darauf hingewiesen, dass die Ausnutzung von Docker-Versionen tatsächlich möglich ist , aber es steckt mehr hinter dem Exploit, als wir bisher aufdecken konnten. Sie gehen davon aus, nächste Woche alle Details zu veröffentlichen, also patchen Sie Ihre Hosts!
In der Zwischenzeit überwachen wir weiterhin Angriffsversuche gegen unsere Sensoren . Soweit wir wissen, verwendet jeder, der das Internet scannt, denselben Exploit, den wir getestet haben, was bei anfälligen Hosts mit ziemlicher Sicherheit fehlschlagen wird.

30.11.2023 Update Nr. 2

Wir haben einen Exploit erhalten, der gegen die Docker-Version funktioniert ! Wir haben unsere Tags aktualisiert, um die neue Variante zu erkennen. Wir haben festgestellt, dass Leute, die das Internet scannen, dies nicht nutzen, was bedeutet, dass die opportunistischen Angreifer (derzeit) nicht in der Lage sind, Docker-Versionen auszunutzen. Aber es ist nur eine Frage der Zeit, also stellen Sie sicher, dass Sie den Patch installiert haben!

Zukünftige Informationen → https://www.labs.greynoise.io//grimoire/2023-11-29-owncloud-redux/