Vulnerabilidades críticas de la plataforma ownCloud están siendo explotadas de forma masiva

El pasado 21 de noviembre de 2023 se hicieron públicas tres vulnerabilidades de gran impacto, entre las que se encuentran una de criticidad alta (CVE-2023-49104) y dos críticas (CVE-2023-49103, CVE-2023-49105), que afectan a diversas aplicaciones de la plataforma online de compartición de ficheros y colaboración ownCloud. Estas vulnerabilidades críticas de la plataforma ownCloud permiten a un atacante remoto, bajo ciertas circunstancias, obtener datos de carácter sensible como la contraseña de administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia; el acceso, modificación y borrado de ficheros sin autenticación (conociendo el usuario víctima); y la evasión en la validación de subdominios en la aplicación de oauth2 de ownCloud.

Tal y como han publicado desde GreyNoise, estas vulnerabilidades críticas de la plataforma ownCloud están siendo altamente explotadas desde el pasado 25 de noviembre de 2023, principalmente la que afecta a la revelación de datos sensibles (CVE-2023-49103).

OwnCloud es una plataforma de software de código abierto diseñada para proporcionar servicios de almacenamiento en la nube y colaboración en línea. Se centra en permitir a los usuarios almacenar, sincronizar y compartir archivos y datos a través de la web. Se puede instalar en servidores locales o en servicios de alojamiento en la nube, lo que brinda a las organizaciones y usuarios individuales un mayor control sobre sus datos.

Algunas de las características clave de ownCloud incluyen:

• Almacenamiento y Sincronización.
• Colaboración.
• Acceso Remoto.
• Seguridad.
• Integración.

Se utiliza comúnmente en entornos empresariales y educativos, donde el control sobre los datos es una prioridad y se prefiere una solución de almacenamiento en la nube interna.

Graph API es una extensión de ownCloud que integra un endpoint de información de usuario en ownCloud Server, siguiendo la especificación Microsoft Graph API. Este endpoint facilita una configuración Bridge, permitiendo un despliegue híbrido entre ownCloud Server 10 y ownCloud Infinite Scale. Se trata de la extensión afectada por la vulnerabilidad de mayor criticidad, donde se exponen datos sensibles sin requerir autenticación.

A continuación, se explica en detalle:

Revelación de credenciales y configuraciones sensibles en despliegues en contenedores

Características principales

• Identificador CVE: CVE-2023-49103.
• Fecha de publicación: 21/11/2023.
• Software Afectado: ownCloud owncloud/graphapi.
• CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (10.0 Critical)
• CWE: CWE-200 – Exposure of Sensitive Information to an Unauthorized Actor.
• Versiones afectadas:
  • owncloud/graphapi 0.2.0 – 0.3.0
• Requisitos de explotación:
  • Servidor ownCloud contenerizado en Docker (*).
  • El contenedor Docker debe ser de febrero de 2023 en adelante.

Impacto

La extensión graphapi se apoya en una biblioteca de terceros que expone una URL: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. Al acceder a esta URL, se revelan detalles de configuración del entorno PHP a través de phpinfo. Este acceso podría exponer información crítica del entorno, incluyendo variables sensibles del servidor web en implementaciones contenerizadas, como la contraseña del administrador de ownCloud, credenciales del servidor de correo y clave de licencia, impactando gravemente en la confidencialidad, integridad y disponibilidad de los datos de la aplicación.

NOTA: tal y como indica el proveedor, los contenedores Docker anteriores a febrero de 2023 no son vulnerables a esta exposición de credenciales.

Mitigación

En este caso, el deshabilitado la aplicación graphapi no elimina la vulnerabilidad. La solución principal consiste en eliminar el fichero que expone la información sensible directamente:

• owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

Así mismo, el proveedor recomienda modificar las siguientes claves, ya que podrían haberse visto comprometidas:

• Contraseña del usuario administrador de ownCloud.
• Credenciales del servidor de correo.
• Credenciales de la base de datos.
• Clave de acceso a Object-Store/S3.

(*) Es importante destacar que, aunque ownCloud no se esté ejecutando bajo un entorno contenerizado, phpinfo expone detalles de configuración del sistema que podrían ser aprovechados por potenciales atacantes, lo que implica que se debería aplicar la mitigación principal indicada del mismo modo.

Detección de la vulnerabilidad

A fecha de la presente publicación existe una prueba de concepto pública para comprobar una posible afectación de esta vulnerabilidad.

Las otras dos vulnerabilidades críticas de la plataforma ownCloud de menor criticidad que afectan a la plataforma, pero igualmente de gran impacto, están relacionadas con la aplicación del protocolo OAuth2 y el core de ownCloud.

Evasión de validación de subdominios

Características principales

• Identificador CVE: CVE-2023-49104.
• Fecha de publicación: 21/11/2023.
• Software Afectado: ownCloud owncloud/oauth2.
• CVSS Score: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N (8.7 High)
• CWE: CWE-284 – Improper Access Control.
• Versiones afectadas:
  • oauth2 < 0.6.1
• Requisitos de explotación:
  • Opción “Allow Subdomains” habilitada.

Impacto

Dentro de la aplicación OAuth2 de ownCloud, cuando la opción “Allow Subdomains” está habilitada, un atacante puede enviar una URL de redirección manipulada que evade el código de validación. Esto permite al atacante redirigir los callbacks de la petición a un top-level domain (TLD) bajo su control.

Mitigación

Para solucionar esta vulnerabilidad se debe deshabilitar la opción “Allow Subdomains”.

Evasión de autenticación WebDAV Api usando URLs pre-firmadas

• Identificador CVE: CVE-2023-49105.
• Fecha de publicación: 21/11/2023.
• Software Afectado: ownCloud owncloud/core.
• CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8 Critical)
• CWE: CWE-665 – Improper Initialization.
• Versiones afectadas:
  • core 10.6.0 – 10.13.0
• Requisitos de explotación:
  • Se conoce el nombre de usuario de la víctima.
  • La cuenta de la víctima no tiene configurada ninguna clave de firma (configuración por defecto).

Descripción e Impacto

Las URL pre-firmadas pueden ser aceptadas incluso cuando no se ha configurado ninguna clave de firma para el propietario de los archivos. Esto permitiría a un atacante la posibilidad de acceder, modificar o eliminar ficheros sin autenticación. Para ello, solo se debe conocer el nombre de usuario de la víctima y que ésta no tenga configurada ninguna clave de firma, siendo esta la configuración por defecto.

Mitigación

La solución principal a la tercera de las vulnerabilidades críticas de la plataforma ownCloud consiste en denegar el uso de URL pre-firmadas si no se ha configurado una clave de firma para el propietario de los archivos.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic Security monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.

Referencias:

• https://nvd.nist.gov/vuln/detail/CVE-2023-49103
• https://nvd.nist.gov/vuln/detail/CVE-2023-49104
• https://nvd.nist.gov/vuln/detail/CVE-2023-49105
• https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
• https://owncloud.com/security-advisories/subdomain-validation-bypass/
• https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
• https://github.com/creacitysec/CVE-2023-49103
• https://viz.greynoise.io/tag/owncloud-graph-api-information-disclosure?days=5