Les pirates exploitent une vulnérabilité critique d’ownCloud, identifiée comme CVE-2023-49103, qui expose les mots de passe d’administrateur, les informations d’identification du serveur de messagerie et les clés de licence dans les déploiements conteneurisés.
ownCloud est une solution open source de synchronisation et de partage de fichiers largement utilisée, conçue pour ceux qui souhaitent gérer et partager des données via une plateforme auto-hébergée.
Le 21 novembre, les développeurs du logiciel ont publié des bulletins de sécurité concernant trois vulnérabilités pouvant entraîner des violations de données, exhortant les administrateurs d’ownCloud à appliquer immédiatement les mesures d’atténuation recommandées.
Parmi les trois failles, CVE-2023-49103 a reçu un score de gravité CVSS maximum de 10,0 car elle permet à un acteur malveillant distant d’exécuter phpinfo() via l’application ownCloud « graphapi », qui révèle les variables d’environnement du serveur, y compris les informations d’identification qui y sont stockées. .
« Dans les déploiements conteneurisés, ces variables d’environnement peuvent inclure des données sensibles telles que le mot de passe administrateur ownCloud, les informations d’identification du serveur de messagerie et la clé de licence », lit-on dans l’avis CVE-2023-49103.
De plus, si d’autres services du même environnement utilisent les mêmes variantes et configurations, les mêmes informations d’identification peuvent également être utilisées pour accéder à ces services, augmentant ainsi la violation.
Exploitation active en cours
Malheureusement, exploiter CVE-2023-49103 pour les attaques de vol de données n’est pas compliqué, et des acteurs malveillants ont déjà été découverts en train d’exploiter la faille dans les attaques.
La société de suivi des menaces Greynoise a rapporté hier avoir observé une exploitation massive de la faille dans la nature à partir du 25 novembre 2023, avec une trajectoire ascendante. Greynoise a suivi 12 adresses IP uniques en exploitant CVE-2023-49103.
Shadowserver rapporte également des observations similaires, avertissant qu’il détecte actuellement plus de 11 000 instances vulnérables, la plupart étant situées en Allemagne, aux États-Unis, en France et en Russie.
En raison de l’exploitation accrue de cette faille, il est recommandé aux administrateurs ownCloud de prendre des mesures immédiates pour remédier au risque.
Le correctif recommandé consiste à supprimer le fichier « owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php », à désactiver la fonction « phpinfo » dans les conteneurs Docker et à modifier les secrets potentiellement exposés comme le mot de passe administrateur ownCloud. , le serveur de messagerie, les informations d’identification de la base de données et les clés d’accès Object-Store/S3.
Il est important de noter que la désactivation de l’application graphapi n’atténue pas la menace, qui est tout aussi grave pour les environnements conteneurisés et non conteneurisés.
Le seul cas résistant au problème de divulgation des informations d’identification est celui des conteneurs Docker créés avant février 2023.