Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Sécurité

29/11/2023
16

Logo ownCloud

La semaine dernière, ownCloud a averti d’une très importante faille de sécurité dans sa solution de partage de fichiers. Cette vulnérabilité, atteignant 10 (soit le maximum) sur l’échelle de gravité, est désormais exploitée largement. Les risques sont grands : vol de mots de passe et de clés cryptographiques, entre autres.

ownCloud est une plateforme de services open source, proposant du stockage et du partage de fichiers. Le 21 novembre, la société a publié un bulletin avertissant d’une très importante faille de sécurité dans leur solution. Notée 10 et numérotée CVE-2023-49103, elle est considérée comme ayant la dangerosité maximale.

Le correctif disponible depuis le 1er septembre

Dans son bulletin, ownCloud expliquait : « L'application "graphapi" s'appuie sur une bibliothèque tierce qui fournit une URL. Lorsque l'on accède à cette URL, elle révèle les détails de configuration de l'environnement PHP (phpinfo). Ces informations incluent toutes les variables d'environnement du serveur web. Dans les déploiements conteneurisés, ces variables d'environnement peuvent inclure des données sensibles telles que le mot de passe administrateur ownCloud, les informations d'identification du serveur de messagerie et la clé de licence ».

La société ajoutait non seulement que la désactivation de graphapi (versions 0.2.0 et 0.3.0 vulnérables) n’éliminait pas la vulnérabilité, mais en outre que phpinfo exposait « divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système ». En conséquence, la faille devait constituer une « source d’inquiétude » même en cas d’environnement non conteneurisé.

Le bulletin informait d’actions à prendre, notamment la suppression du fichier GetPhpInfo.php et la modification de plusieurs secrets : mot de passe administrateur ownCloud, identifiants du serveur de messagerie, informations d’identification de la base de données et la clé d’accès Object-Store/S3.

La fonction phpinfo a été désactivée sur les conteneurs Docker et plusieurs renforcements seront ajoutés dans les prochaines versions d’ownCloud. La version 0.3.1 de graphapi, comprenant le correctif, est disponible depuis le 1er septembre.

L’exploitation n’a pas tardé

Les chercheurs de Greynoise ont averti dès le 27 novembre qu’une exploitation massive avait commencé. Cette activité a été enregistrée sur leurs faux serveurs ownCloud qui constituaient autant de pots de miel, s’affichant comme des serveurs authentiques et vulnérables.

La dangerosité réelle de la faille CVE-2023-49103 fait en quelque sorte débat. Pour certains, comme The Shadowserver Foundation, elle est très concrète : « Sans surprise, étant donné la facilité d’exploitation, nous avons commencé à voir des tentatives de CVE-2023-49103 d’OwnCloud. Il s’agit d’une divulgation CVSS 10 d’informations d’identification et de configurations sensibles dans des déploiements conteneurisés. Veuillez suivre les étapes d’atténuation de l’avis d’ownCloud ».

D’autres, comme le chercheur Kevin Beaumont, mettent en avant plusieurs facteurs qui limitent au contraire cette dangerosité et le fait que la faille est actuellement considérée comme une menace généralisée. La vulnérabilité CVE-2023-49103 n’a ainsi été introduite qu’en 2020, n’est pas exploitable par défaut et n’est présente dans les conteneurs que depuis février dernier.

Effectivement, quand on regarde la page dédiée à graphapi sur le site officiel d’ownCloud, on peut voir que cette application, basée sur l’API Microsoft Graph, n’est présente que dans 853 installations (chiffre du 1er septembre).

D’un autre côté, le scanner lancé par The Shadowserver Foundation montrait il y a deux jours que plus de 11 000 installations ownCloud étaient accessibles. Comme le précise l’organisation, ce nombre ne tient pas compte du critère de vulnérabilité. Mais d’après ownCloud elle-même, les installations non conteneurisées doivent être une « source d’inquiétude », la vigilance reste donc de mise.

D’autres failles importantes colmatées le 21 novembre

Autre point de vigilance, la correction de deux autres failles supplémentaires mentionnées dans le bulletin du 21 novembre.

Estampillées CVE-2023-49104 et CVE-2023-49105, ces vulnérabilités sont également très sérieuses. La première a ainsi un score de 9 et permet le contournement de validation de sous-domaine. Elle peut être exploitée en utilisant une URL spécialement conçue de redirection, renvoyant ainsi les appels vers un domaine contrôlé par les pirates. Il est nécessaire de renforcer le code de validation dans l’application oauth2, par exemple en désactivant l’option « Allow Subdomains », ou utiliser une version plus récente d’oauth2 (au moins la 0.6.1).

La seconde, notée 9,8, permet un contournement de l’authentification dans l’API WebDAV via l’utilisation d’URL pré-signées. Son exploitation permet d’ « accéder, modifier ou supprimer n’importe quel fichier sans authentification si le nom d’utilisateur de la victime est connu et que la victime n’a pas de clé de signature configurée (ce qui est le cas par défaut) », explique ownCloud dans son bulletin. Solution, refuser les URL pré-signées si aucune clé de signature n’a été définie pour le propriétaire des fichiers, ou passer à une version corrigée d’ownCloud Server (au moins la 10.13.1).

Ces deux brèches ne font a priori pas l’objet d’exploitation massive actuellement, comme peut l’être la CVE-2023-49103. Cependant, au vu de la situation délicate actuelle, un surplus de méfiance est de mise.

16

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le correctif disponible depuis le 1er septembre

L’exploitation n’a pas tardé

D’autres failles importantes colmatées le 21 novembre

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)


zefling Abonné
Le 29/11/2023 à 16h 21
Son fork, Nextcloud, ne semble pas concerné par cette faille.
fry Abonné
Le 29/11/2023 à 16h 25
je me posais la question, merci
(faudra que je vérifie mes installs quand même :D)
Le 29/11/2023 à 16h 33
https://nextcloud.com/blog/security-statement/

C’est plus que « ne semble pas », c’est très clair que nextcloud n’est pas affecté par cette faille spécifique.
dalf Abonné
Le 29/11/2023 à 16h 38

white_tentacle

https://nextcloud.com/blog/security-statement/

C’est plus que « ne semble pas », c’est très clair que nextcloud n’est pas affecté par cette faille spécifique.
Out of topic: NextCloud qui vient de racheter RoundCube: https://nextcloud.com/blog/open-source-email-pioneer-roundcube-comes-aboard-nextcloud/

C'est au moins rassurant sur cet aspect.
Gorom Abonné
Le 30/11/2023 à 09h 07

dalf

Out of topic: NextCloud qui vient de racheter RoundCube: https://nextcloud.com/blog/open-source-email-pioneer-roundcube-comes-aboard-nextcloud/

C'est au moins rassurant sur cet aspect.
Merci pour l'info.
al_bebert Abonné
Le 29/11/2023 à 16h 52
c'est pas l'inverse ? own fork de next ?
Modifié le 29/11/2023 à 16h54
SebGF Abonné
Le 29/11/2023 à 18h 37

al_bebert

c'est pas l'inverse ? own fork de next ?
Non, Nextcloud est un fork de ownCloud. Mais depuis ils commencent à ne plus avoir grand chose en commun je pense.
lexiii Abonné
Le 29/11/2023 à 20h 16

al_bebert

c'est pas l'inverse ? own fork de next ?
owncloud est bien plus vieux que nextCloud ;) et est à l'initiative du projet
al_bebert Abonné
Le 29/11/2023 à 20h 27

lexiii

owncloud est bien plus vieux que nextCloud ;) et est à l'initiative du projet
de mémoire c'était l'inverse, et je pensais même être sur owncloud (sachant être sur le fork) mais en fait je suis bien sur nextcloud.

Bref vivement les vacances !
al_bebert Abonné
Le 29/11/2023 à 16h 52
non rien suis sur nextcloud en fait, je fatigue moi
Modifié le 29/11/2023 à 16h54
fdorin Abonné
Le 29/11/2023 à 17h 19
Proposition de sous-titre : ownCloud devient pwnedCloud ! :D
Le 29/11/2023 à 17h 42
C'est cruel :D
fred42 Abonné
Le 29/11/2023 à 17h 59
10/10
HerrFrance Abonné
Le 29/11/2023 à 17h 56
TIL qu'Owncloud existe toujours... Je ne vois plus que nextcloud dans le paysage au quotidien
lexiii Abonné
Le 29/11/2023 à 20h 17
Un peu comme mysql, open office mais apparemment oui. Je me suis fait la même reflexion.
julkidi Abonné
Le 29/11/2023 à 23h 31
Du coup, j'ai foncé voir mes màj NextCloud sans lire les comm' :-D Ca m'apprendra à pas lire les poings Dev ;-)