Критическая ошибка в приложении для обмена файлами OwnCloud раскрывает пароли администратора

Сообщается, что программное обеспечение для обмена файлами с открытым исходным кодом ownCloud имеет три критических уязвимостях безопасности. Одна из них может раскрыть пароли администратора и учетные данные почтового сервера.

Критическая ошибка в приложении для обмена файлами OwnCloud раскрывает пароли администратора. Фото: СС0

OwnCloud — это решение для синхронизации и обмена файлами с открытым исходным кодом, предназначенное для частных лиц и организаций, желающих управлять файлами и обмениваться ими через автономную платформу.

Оно используется предприятиями и предприятиями, образовательными учреждениями, государственными учреждениями и людьми, заботящимися о конфиденциальности, которые предпочитают сохранять контроль над своими данными, а не размещать их у сторонних поставщиков облачных хранилищ.

На сайте OwnCloud сообщается о 200 тыс. установок, 600 корпоративных клиентах и 200 млн пользователей.

Программное обеспечение состоит из нескольких библиотек и компонентов, которые работают вместе, обеспечивая широкий спектр функций платформы облачного хранения.

На этой неделе команда разработчиков проекта выпустила три бюллетеня по безопасности, предупреждающих о трех различных недостатках в компонентах OwnCloud, которые могут серьезно повлиять на безопасность.

Первая уязвимость CVE-2023-49103 получила максимальный балл CVSS v3, равный 10. Ее можно использовать для кражи учетных данных и информации о конфигурации в контейнерных развертываниях, влияя на все переменные среды веб-сервера.

В графических версиях 0.2.0–0.3.0 проблема возникает из-за зависимости приложения от сторонней библиотеки, которая предоставляет сведения о среде PHP через URL-адрес, раскрывая пароли администратора OwnCloud, учетные данные почтового сервера и лицензионные ключи.

Рекомендуемое исправление — удалить файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php, отключить функцию phpinfo в контейнерах Docker и изменить потенциально раскрытые секреты, такие как пароль администратора OwnCloud, почтовый сервер, учетные данные базы данных и ключи доступа Object-Store/S3.

Простое отключение приложения Graphapi не устраняет уязвимость, предупреждают разработчики.

Phpinfo раскрывает различные другие потенциально конфиденциальные детали конфигурации, которые могут быть использованы злоумышленником для сбора информации о системе. Поэтому, даже если OwnCloud не работает в контейнерной среде, эта уязвимость все равно должна вызывать беспокойство, утверждается в докумеyтах

Вторая проблема с оценкой CVSS v3 9,8 затрагивает основную библиотеку OwnCloud версий с 10.6.0 по 10.13.0 и представляет собой проблему обхода аутентификации.

Уязвимость позволяет злоумышленникам получить доступ, изменить или удалить любой файл без аутентификации, если имя пользователя известно и он не настроил ключ подписи (настройка по умолчанию).

Решение состоит в том, чтобы запретить использование предварительно подписанных URL-адресов, если для владельца файлов не настроен ключ подписи.

Третий, менее серьезный недостаток (оценка CVSS v3: 9) — это проблема обхода проверки субдомена , затрагивающая все версии библиотеки oauth2 ниже 0.6.1.

В приложении oauth2 злоумышленник может ввести специально созданный URL-адрес перенаправления, который обходит код проверки и позволяет перенаправлять обратные вызовы в домен, контролируемый злоумышленником.

Рекомендуемое решение — ужесточить код проверки в приложении Oauth2.

Временным решением, описанным в бюллетене, является отключение опции «Разрешить поддомены».

Три недостатка безопасности, описанные в бюллетенях, существенно влияют на безопасность и целостность среды OwnCloud, что потенциально может привести к раскрытию конфиденциальной информации, скрытой краже данных, фишинговым атакам и многому другому.

Уязвимости безопасности в платформах обмена файлами постоянно подвергаются атакам, причем группы программ-вымогателей, такие как CLOP, используют их в краже данных тысяч компаний по всему миру.

В связи с этим администраторам OwnCloud крайне важно немедленно применить рекомендуемые исправления и как можно скорее выполнить обновления библиотеки, чтобы снизить эти риски, предупреждают разработчики.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме