Le logiciel open source de partage de fichiers ownCloud met en garde contre trois vulnérabilités de sécurité de gravité critique, dont une qui peut exposer les mots de passe des administrateurs et les informations d’identification du serveur de messagerie.

ownCloud est une solution open source de synchronisation et de partage de fichiers conçue pour les individus et les organisations souhaitant gérer et partager des fichiers via une plateforme auto-hébergée.

Il est utilisé par des entreprises, des établissements d’enseignement, des agences gouvernementales et des personnes soucieuses de leur confidentialité qui préfèrent garder le contrôle de leurs données plutôt que de les héberger chez des fournisseurs de stockage cloud tiers. Le site OwnCloud rapporte 200 000 installations, 600 entreprises clientes et 200 millions d’utilisateurs.

Le logiciel se compose de plusieurs bibliothèques et composants qui fonctionnent ensemble pour fournir une gamme de fonctionnalités pour la plate-forme de stockage cloud.

Risques graves de violation de données
L’équipe de développement à l’origine du projet a publié trois bulletins de sécurité plus tôt cette semaine, mettant en garde contre trois failles différentes dans les composants d’ownCloud qui pourraient avoir de graves conséquences sur son intégrité.

La première faille est identifiée comme CVE-2023-49103 et a reçu un score CVSS v3 maximum de 10. La faille peut être utilisée pour voler des informations d’identification et de configuration dans des déploiements conteneurisés, affectant ainsi toutes les variables d’environnement du serveur Web.

Impactant graphapi 0.2.0 à 0.3.0, le problème provient de la dépendance de l’application à une bibliothèque tierce qui expose les détails de l’environnement PHP via une URL, exposant les mots de passe d’administrateur ownCloud, les informations d’identification du serveur de messagerie et les clés de licence.

Le correctif recommandé consiste à supprimer le fichier « owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php », à désactiver la fonction « phpinfo » dans les conteneurs Docker et à modifier les secrets potentiellement exposés comme le mot de passe administrateur ownCloud. , le serveur de messagerie, les informations d’identification de la base de données et les clés d’accès Object-Store/S3.

« Il est important de souligner que la simple désactivation de l’application graphapi n’élimine pas la vulnérabilité », prévient le bulletin de sécurité.

« De plus, phpinfo expose divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système. Par conséquent, même si ownCloud ne fonctionne pas dans un environnement conteneurisé, cette vulnérabilité devrait toujours être une source de préoccupation. »

Le deuxième problème, avec un score CVSS v3 de 9,8, affecte les versions 10.6.0 à 10.13.0 de la bibliothèque principale d’ownCloud et est un problème de contournement d’authentification.

La faille permet aux attaquants d’accéder, de modifier ou de supprimer n’importe quel fichier sans authentification si le nom d’utilisateur de l’utilisateur est connu et s’ils n’ont pas configuré de clé de signature (paramètre par défaut).

La solution publiée consiste à refuser l’utilisation d’URL pré-signées si aucune clé de signature n’est configurée pour le propriétaire des fichiers.

La troisième faille, la moins grave (score CVSS v3 : 9) est un problème de contournement de validation de sous-domaine affectant toutes les versions de la bibliothèque oauth2 inférieures à 0.6.1.

Dans l’application oauth2, un attaquant peut saisir une URL de redirection spécialement conçue qui contourne le code de validation, permettant ainsi la redirection des rappels vers un domaine contrôlé par l’attaquant.

L’atténuation recommandée consiste à renforcer le code de validation dans l’application Oauth2. Une solution temporaire partagée dans le bulletin consiste à désactiver l’option « Autoriser les sous-domaines ».

Les trois failles de sécurité décrites dans les bulletins ont un impact significatif sur la sécurité et l’intégrité de l’environnement ownCloud, conduisant potentiellement à l’exposition d’informations sensibles, au vol furtif de données, aux attaques de phishing, etc.

Les vulnérabilités de sécurité des plateformes de partage de fichiers sont constamment attaquées, des groupes de ransomwares, comme CLOP, les utilisant dans des attaques de vol de données contre des milliers d’entreprises dans le monde.

Pour cette raison, il est essentiel que les administrateurs ownCloud appliquent immédiatement les correctifs recommandés et effectuent les mises à jour de la bibliothèque dès que possible pour atténuer ces risques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *