Moderne teknologi giver os mange ting.

Hackere begynder at udnytte ownClouds kritiske fejl, ret nu


Οι χάκερ εκμεταλλεύονται μια κρίσιμη ευπάθεια του που παρακολουθείται ως CVE-2023-49103 που εκθέτει τους κωδικούς πρόσβασης διαχειριστή, τα διαπιστευτήρια διακομιστή αλληλογραφίας και τα κλειδιά άδειας χρήσης σε κοντέινερ αναπτύξεις.

ownCloud er en udbredt open source-filsynkroniserings- og -delingsløsning designet til dem, der ønsker at administrere og dele data gennem en selv-hostet platform.

ΣDen 21. november udgav softwarens udviklere sikkerhedsbulletiner om tre sårbarheder, der kunne føre til databrud, og opfordrede ownCloud-administratorer til straks at implementere foreslåede afhjælpninger.

Af de tre fejl, CVE-2023-49103 modtog en maksimal CVSS-sværhedsscore på 10,0, da den tillader en fjerntrusselsaktør at eksekvere phpinfo () gennem ownClouds "graphapi"-applikation, som afslører serverens miljøvariabler, inklusive de legitimationsoplysninger, der er gemt i dem.

"I containeriserede implementeringer kan disse miljøvariabler omfatte følsomme data, såsom ownCloud-administratoradgangskoden, mailserver-legitimationsoplysninger og licensnøgle," siger rådgivende CVE-2023-49103.

Hvis andre tjenester i det samme miljø bruger de samme varianter og konfigurationer, kan de samme legitimationsoplysninger også bruges til at få adgang til disse tjenester, hvilket forlænger bruddet.

Aktiv udnyttelse i gang

Desværre udnytter CVE-2023-49103 til datatyveriangreb komplekse og truende aktører, der udnytter fejlen i angrebene, er allerede blevet opdaget.

Trusselovervågningsfirma Greynoise nævnt i går, at den observerede masseudnyttelse af fejlen i naturen, der startede den 25. november 2023 med en opadgående bane. Greynoise sporede 12 unikke IP-adresser ved at udnytte CVE-2023-49103.

Observeret udnyttelsesaktivitet
Observeret udnyttelsesaktivitet
Kilde: Greynoise

Shadowserver også gør lignende observationeradvarer om, at den i øjeblikket opdager over 11.000 sårbare tilfælde, hvoraf de fleste er i Tyskland, USA, Frankrig og Rusland.

Heatmap over sårbare mål
Varmekort over sårbare endepunkter
Kilde: Shadowserver

På grund af den øgede udnyttelse af denne fejl, rådes ownCloud-administratorer til at træffe øjeblikkelige foranstaltninger for at afhjælpe sårbarheden.

Den anbefalede rettelse er at slette filen "owncloud//graphapi/leverandør//microsoft-graph/tests/GetPhpInfo.php", deaktiver "phpinfo"-funktionen i Docker-containere og ændre potentielt afslørede hemmeligheder såsom ownCloud-adminadgangskode, mailserver, databaselegitimationsoplysninger og Object-Store-adgangsnøgler/S3.

Det er vigtigt at bemærke, at deaktivering af graphapi ikke afbøder truslen, som er lige så alvorlig for både containeriserede og ikke-containeriserede miljøer.

Den eneste sag, der er modstandsdygtig over for problemet med offentliggørelse af legitimationsoplysninger, er Docker-containere, der er oprettet før februar 2023.



VIA: bleepingcomputer.com

Følg TechWar.gr på Google News

svar