De beheerders van de open-source software voor het delen van bestanden ownCloud hebben gewaarschuwd voor drie kritieke beveiligingsfouten die kunnen worden misbruikt om gevoelige informatie vrij te geven en bestanden te wijzigen.
Een korte beschrijving van de kwetsbaarheden is als volgt:
- Openbaarmaking van gevoelige inloggegevens en configuratie in containerimplementaties die van invloed zijn op graphapi-versies van 0.2.0 tot 0.3.0. (CVSS-score: 10,0)
- WebDAV Api-authenticatie omzeilen met vooraf ondertekende URL’s die van invloed zijn op kernversies van 10.6.0 tot 10.13.0 (CVSS-score: 9,8)
- Subdomeinvalidatie omzeilen met impact op oauth2 vóór versie 0.6.1 (CVSS-score: 9.0)
“De ‘graphapi’-app is afhankelijk van een bibliotheek van derden die een URL levert. Wanneer deze URL wordt geopend, worden de configuratiegegevens van de PHP-omgeving (phpinfo) onthuld”, zei het bedrijf over de eerste fout.
“Deze informatie omvat alle omgevingsvariabelen van de webserver. In container-implementaties kunnen deze omgevingsvariabelen gevoelige gegevens bevatten, zoals het ownCloud-beheerderswachtwoord, de inloggegevens van de mailserver en de licentiesleutel.”
Als oplossing raadt ownCloud aan om het bestand “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” te verwijderen en de functie ‘phpinfo’ uit te schakelen. Het adviseert gebruikers ook om geheimen zoals het ownCloud-beheerderswachtwoord, de inloggegevens van de mailserver en de database en de Object-Store/S3-toegangssleutels te wijzigen.
Het tweede probleem maakt het mogelijk om elk bestand zonder authenticatie te openen, te wijzigen of te verwijderen als de gebruikersnaam van het slachtoffer bekend is en het slachtoffer geen ondertekeningssleutel heeft geconfigureerd, wat het standaardgedrag is.
Ten slotte heeft de derde fout betrekking op een geval van onjuiste toegangscontrole waardoor een aanvaller “een speciaal vervaardigde omleidings-URL kan doorgeven die de validatiecode omzeilt en de aanvaller in staat stelt callbacks om te leiden naar een TLD die door de aanvaller wordt beheerd.”
Naast het toevoegen van verhardingsmaatregelen aan de validatiecode in de oauth2-app, heeft ownCloud voorgesteld dat gebruikers de optie “Subdomeinen toestaan” als tijdelijke oplossing uitschakelen.
De onthulling komt omdat er een proof-of-concept (PoC)-exploit is vrijgegeven voor een kritieke kwetsbaarheid voor het uitvoeren van externe code in de CrushFTP-oplossing (CVE-2023-43177) die door een niet-geverifieerde aanvaller kan worden bewapend om toegang te krijgen tot bestanden en willekeurige programma’s uit te voeren. op de host en verkrijg wachtwoorden in platte tekst.
Het probleem is verholpen in CrushFTP versie 10.5.2, uitgebracht op 10 augustus 2023.
“Deze kwetsbaarheid is van cruciaal belang omdat er GEEN authenticatie voor nodig is”, merkte CrushFTP op in een destijds uitgebracht advies. “Het kan anoniem worden gedaan en de sessie van andere gebruikers stelen en escaleren naar een beheerder.”
