黑客正在利用一个关键的ownCloud漏洞跟踪为CVE-2023-49103,暴露管理员密码,邮件服务器凭据,并在容器化部署许可证密钥。
Own Cloud是一个广泛使用的开源文件同步和共享解决方案,专为那些希望通过自托管平台管理和共享数据的人设计。
11月21日,该软件的开发人员针对三个可能导致数据泄露的漏洞发布了安全公告,敦促ownCloud管理员立即应用推荐的缓解措施。
在这三个缺陷中,CVE-2023-49103收到的最大CVSS严重性得分为10.0,因为它允许远程威胁参与者通过ownCloud’graphapi’应用程序执行phpinfo(),该应用程序显示服务器的环境变量,包括存储在其中的凭据。
“在容器化部署中,这些环境变量可能包括敏感数据,如ownCloud管理员密码、邮件服务器凭据和许可证密钥,”CVE-2023-49103咨询报告中写道。
此外,如果同一环境中的其他服务使用相同的变体和配置,则可以使用相同的凭据来访问这些服务,从而扩大漏洞。
正在积极开采
不幸的是,利用CVE-2023-49103进行数据窃取攻击并不复杂,并且已经发现威胁分子在攻击中利用了该缺陷。
威胁跟踪公司Greynoise昨天报告称,它观察到该漏洞从2023年11月25日开始在野外被大规模利用,并呈上升轨迹。灰噪追踪了12个利用CVE-2023-49103的独特IP地址。
Shadowserver也报告了类似的观察,警告说,它目前检测到超过11000个暴露的实例,其中大部分位于德国,美国,法国和俄罗斯。
由于利用此漏洞的情况越来越多,我们建议ownCloud管理员立即采取行动来修复此风险。
推荐的修复方法是删除’
owncloud/apps/graphapi/vendor/microsoft/microsoft-图/测试/GetPhpInfo.php’文件,禁用Docker容器中的’phpinfo’功能,并更改可能暴露的秘密,如ownCloud管理员密码、邮件服务器、数据库凭据和Object-Store/S3访问密钥。
需要注意的是,禁用graphapi应用程序并不能减轻威胁,无论是容器化环境还是非容器化环境,威胁都同样严重。
唯一抵抗凭据泄露问题的情况是2023年2月之前创建的Docker容器。