La plateforme partage trop de secrets avec des hackers avertis
Paume faciale : OwnCloud est un logiciel open source conçu pour partager et synchroniser des fichiers dans des environnements d’entreprise distribués et fédérés. L’outil fournit des services de collaboration et de partage de documents, mais une vulnérabilité récemment révélée a étendu ses capacités de « partage » de manière involontaire, compromettant les données sensibles.
La semaine dernière, ownCloud a divulgué publiquement une vulnérabilité critique dans l’application « graphapi ». La faille de sécurité est suivie avec le niveau de risque le plus élevé sur l’échelle CVE (10) comme CVE-2023-49103. Une semaine plus tard, les chercheurs en sécurité commencent à constater ce qui pourrait s’apparenter à une exploitation « massive » de cette faille extrêmement dangereuse.
Selon l’avis officiel d’ownCloud, le problème CVE-2023-49103 provient d’une bibliothèque tierce utilisée par l’application graphapi (GetPhpInfo.php). La bibliothèque fournit une URL qui, une fois accessible, révèle les détails de configuration de l’environnement PHP. Les informations fournies incluent également toutes les variables d’environnement du serveur Web, a indiqué ownCloud.
Le problème survient principalement dans les déploiements conteneurisés d’ownCloud, où les variables d’environnement divulguées par getphpinfo.php « peuvent inclure » des données sensibles telles que des mots de passe administrateur, des informations d’identification du serveur et des clés de licence. La simple désactivation de l’application graphapi n’élimine pas la vulnérabilité, car la bibliothèque défectueuse fournit toujours l’URL de divulgation secrète, selon ownCloud.
En plus de divulguer les secrets du serveur, la bibliothèque phpinfo vulnérable peut exposer d’autres détails de configuration potentiellement sensibles qu’un attaquant pourrait exploiter pour recueillir des informations supplémentaires sur le système. Même si ownCloud ne fonctionne pas dans un environnement conteneurisé, prévient l’avis, les administrateurs de serveur doivent toujours s’inquiéter des résultats potentiels de la vulnérabilité.
Selon la société de sécurité GreyNoise, la faille CVE-2023-49103 est désormais activement exploitée par les cybercriminels. Les chercheurs décrivent une « exploitation massive » de la faille dans la nature, qu’ils ont détectée dès le 25 novembre 2023. Les pirates informatiques recherchent des mots de passe, des informations d’identification de serveur de messagerie et des clés de licence, que la vulnérabilité détaillée serait heureuse de révéler à n’importe qui.
Alors que la société travaille sur « divers renforcements » dans les futures versions principales pour éviter des vulnérabilités similaires, ownCloud a conseillé aux utilisateurs de supprimer la bibliothèque GetPhpInfo.php défectueuse de leurs serveurs. De plus, la fonction phpinfo a été désactivée dans les conteneurs que la société allemande fournit directement à ses entreprises clientes.
D’autres conseils fournis par ownCloud incluent une réinitialisation globale des « secrets » du serveur, y compris les mots de passe, les informations d’identification et les clés d’accès. En plus du CVE-2023-49103, GreyNoise remarque qu’ownCloud a récemment divulgué des vulnérabilités critiques supplémentaires. Les failles incluent un problème de contournement d’authentification avec un score CVE de 9,8 (CVE-2023-49105) et une faille très dangereuse liée à l’application oauth2 (CVE-2023-49104).
