最后更新于2023年12月1日(星期五)22:11:26 GMT

Rapid7正在响应CVE-2023-49103, 影响ownCloud的未经认证的信息泄露漏洞.

Background

ownCloud 文件共享平台是为企业环境设计的吗. On November 21, 2023, ownCloud disclosed CVE-2023-49103, 影响ownCloud的未经认证的信息泄露漏洞, 当一个脆弱的扩展称为“图形API”(graphapi)存在时. 如果ownCloud已经通过Docker部署, from February 2023 onwards, 默认情况下存在这个易受攻击的graphpi组件. 如果手动安装了ownCloud,则默认不存在graphapi组件.

通过Shodan搜索ownCloud显示至少有 12,320 instances on the internet (as of Dec 1, 2023). 目前尚不清楚其中有多少是脆弱的.

文件传输和共享平台过去曾受到勒索软件组织的攻击, 这是一个特别值得关注的目标, as ownCloud也是一个文件共享平台. On November 30, 2023, CISA将CVE-2023-49103添加到其已知可利用漏洞(KEV)列表中, 表明威胁行为者已经开始在野外利用这一漏洞. 在撰写本文时,Rapid7实验室已经观察到针对至少三个客户环境的攻击企图.

该漏洞允许未经身份验证的攻击者通过PHP函数的输出泄露敏感信息。phpinfo/apps/ graphi /vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”. 该输出将包括可能包含秘密的环境变量, 例如提供给ownCloud系统的用户名或密码. Specifically, 当ownCloud通过Docker部署时, 通过环境变量传递秘密是一种常见的做法.

虽然最初认为Docker安装的ownCloud是不可利用的, Rapid7的研究人员现已证实(截至11月30日), 2023) that it 是否有可能利用易受攻击的基于docker的ownCloud安装, 通过修改请求的URI,使其可以绕过现有的Apache web服务器的重写规则, 允许成功到达目标URI端点.

Previously, 人们认为,任何试图利用基于docker的易受攻击的ownCloud安装都将通过HTTP 302重定向失败, however using this new technique, 成功利用基于docker的易受攻击的ownCloud安装是可能的. Docker通过环境变量传递机密, 这允许攻击者泄露诸如OWNCLOUD_ADMIN_USERNAME和OWNCLOUD_ADMIN_PASSWORD环境变量之类的机密, 其中包含admin用户的用户名和密码, 允许攻击者以管理员权限登录受影响的ownCloud系统.

Timeline of events:

Affected Products

请注意:有关受影响版本或可利用性需求的信息可能会随着我们对威胁的了解而变化.

受影响的产品是ownCloud Graph API扩展,特别是版本0.2.x before 0.2.1 and 0.3.x before 0.3.1. CVE-2023-49103已在版本0中修复.3.1 and 0.2.2023年9月1日发布.

您可以在供应商页面上找到更多详细信息: http://marketplace.owncloud.com/apps/graphapi

Mitigation guidance

修复CVE-2023-49103漏洞 graphapi component should be updated to 0.3.1 as per the vendor advisory. 如果下面的文件出现在ownCloud安装中,应该删除它:

/ owncloud /应用程序/ graphapi /供应商/微软/ microsoft-graph /测试/ GetPhpInfo.php

通过将PHP函数“phpinfo”添加到PHP禁用函数列表中,ownCloud安装可能会进一步加强, 在适当的PHP ini配置文件中. Since disclosing CVE-2023-49103, ownCloud已经在几个最新版本的官方Docker容器镜像中添加了这个强化功能. 在此之前发布的Docker镜像构建的Docker容器将不会应用更新的加固,除非它们的镜像被重新构建.

强烈建议将ownCloud更新到至少版本10.13.1, 当graphapi作为ownCloud的完整包的一部分发布时,这将解决CVE-2023-49103问题. Version 10.13.1还解决了另外两个漏洞:

  • CVE-2023-49104: oauth2组件中的子域验证绕过
  • CVE-2023-49105: WebDAV API认证绕过.

这三个漏洞都是由ownCloud在2023年11月21日披露的.

Indicators of Compromise

CVE-2023-49103的妥协指标将是对Apache服务器访问日志中包含以下内容的URI路径的HTTP GET请求的存在:

/应用程序/ graphapi /供应商/微软/ microsoft-graph /测试/ GetPhpInfo.php

成功的请求将收到HTTP 200响应. For example, 对基于docker的易受攻击的ownCloud安装的成功利用尝试将有一个日志文件条目,看起来像这样(在框中一直向右滚动):

192.168.86.[01/Dec/ 23:09:32:57 +0000] "GET /apps/ graphpi /vendor/microsoft/microsoft-graph/tests/GetPhpInfo ..php/.css HTTP/1.1" 200 30939 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36"

在利用基于docker的安装时, 攻击者必须在目标URI路径上附加一个额外的路径段, such as `/.css`, 以绕过Apache重写规则,并允许成功到达目标端点. Due to how the .ownCloud中的htaccess文件指定了多个绕过重写规则的潜在文件扩展名, 攻击者可以使用的附加路径段可能是几个值中的一个, as listed below:

/.css
/.js
/.svg
/.gif
/.png
/.html
/.ttf
/.woff
/.ico
/.jpg
/.jpeg
/.json
/.properties
/.min.map
/.js.map
/.auto.map

如果一个易受攻击的ownCloud服务器将PHP函数' phpinfo '添加到其禁用函数列表中, 不会向攻击者返回任何内容, HTTP响应的Content-Length为0.

失败的利用尝试将看到包含404或302响应代码的HTTP响应.

Rapid7实验室有一个Sigma规则,可以帮助组织识别与此漏洞相关的可能的利用活动链接: http://github.com/rapid7/Rapid7-Labs/tree/main/Sigma

Rapid7 Customers

InsightVM和expose客户可以通过对unix系统的身份验证检查来评估他们对CVE-2023-49103的暴露程度, 定于今天(12月1日)发布内容.

请注意:紧急威胁发展迅速. 随着我们对这个漏洞的了解越来越多,这篇博客文章也将继续发展. 这一页将作为我们调查结果的基础, product coverage, 以及其他可以帮助您减轻和修复此威胁的重要信息.

我们的目的是向你提供尽可能多的信息,我们可以自信地核实, as early as possible, 但我们要明白,全面的情况需要一些时间才能显现出来. 我们将实时更新这篇博文,因为我们了解了有关此漏洞的更多细节,并对攻击向量进行了深入的技术分析.