Kritieke ownCloud-kwetsbaarheid laat aanvaller adminwachtwoord stelen
Een kritieke kwetsbaarheid in ownCloud, een oplossing voor het uitwisselen en opslaan van bestanden, maakt het mogelijk voor aanvallers om het adminwachtwoord en andere inloggegevens te stelen en zo toegang tot opgeslagen data te krijgen. Vervolgens is het mogelijk om de aanwezige gegevens te stelen of die te versleutelen. Er zijn berichten dat het beveiligingslek, aangeduid als CVE-2023-49103, actief wordt misbruikt, maar het is de vraag of die aanvallen ook succesvol zijn.
OwnCloud is een gratis opensource-oplossing die te vergelijken is met diensten zoals OneDrive, Dropbox en Google Drive. Via een ownCloud-server kunnen organisaties bestanden voor gebruikers beschikbaar maken. Op 21 november waarschuwde ownCloud voor een kritieke kwetsbaarheid waardoor een ongeautoriseerde aanvaller het adminwachtwoord, inloggegevens voor de mailserver, database credentials en S3 access-key kan stelen.
De “graphapi” app van ownCloud maakt gebruik van een third-party library, die een url biedt. Via deze url is het mogelijk om de configuratiegegevens van de PHP-omgeving (phpinfo) te bekijken. Deze informatie bevat alle omgevingsvariabelen van de webserver. In 'containerized deployments' kan dit gevoelige data betreffen, zoals de eerder genoemde inloggegevens.
OwnCloud benadrukt dat het uitschakelen van de graphapi app de kwetsbaarheid niet verhelpt. Daarnaast toont phpinfo ook andere mogelijk gevoelige configuratiegegevens waarmee een aanvaller informatie over het systeem kan verzamelen. Ook wanneer ownCloud niet in een container-omgeving draait is de kwetsbaarheid nog steeds reden tot zorg, aldus de softwareontwikkelaar. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Securitybedrijf GreyNoise meldde op het eigen blog dat er sinds 25 november misbruik van het beveiligingslek wordt gemaakt. Daarop kwam ook het Australische Cyber Security Centre (ACSC) met een waarschuwing. Beveiligingsonderzoeker Will Dormann laat via X weten dat het hier om niet werkende aanvallen gaat, aangezien alleen ownCloud-installaties die in een container draaien kwetsbaar zijn.
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?
Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.
De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.
Owncloud wordt "beheerd" voor een venture geldschieter.
Met andere woorden, heeft NextCloud ook last van deze Kwetsbaarheid?
Volgens nextcloud support heeft nextcloud er geen last van: https://help.nextcloud.com/t/does-cve-2023-49103-affect-nextcloud/175381/2
https://f-droid.org/en/packages/org.cryptomator.lite/
Versleutelen via bijv. 7zip alvorens de bestanden in de cloud te zetten is ook mogelijk.
Nextcloud was een fork van owncloud 5
Als nextcloud 5... In middels is nextcloud minimaal v25 recent v27, beta is beschikbaar voor v28.
Compaitibility van owncloud met nextcliud eindigde effectie ergens met nextcliud v22.
De meeste ontwikkelaars zijn van owncliud naar nextcloud overgestapt rond nextcloud 6.
Owncloud wordt "beheerd" voor een venture geldschieter.
Dit bestand moet je weggooien: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
en phpinfo disablen en credentials vervangen natuurlijk.
Phpinfo laat o.a environment variabelen zien.
Een van de variabelen was het admin wachtwoord.
Een voirwaarde voor breach is dus ook hetdraaien in een container.
Statement nextcloud:
https://nextcloud.com/blog/security-statement/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.