ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

La semaine dernière, ownCloud a averti d’une très importante faille de sécurité dans sa solution de partage de fichiers. Cette vulnérabilité, atteignant 10 (soit le maximum) sur l’échelle de gravité, est désormais exploitée largement. Les risques sont grands : vol de mots de passe et de clés cryptographiques, entre autres.

ownCloud est une plateforme de services open source, proposant du stockage et du partage de fichiers. Le 21 novembre, la société a publié un bulletin avertissant d’une très importante faille de sécurité dans leur solution. Notée 10 et numérotée CVE-2023-49103, elle est considérée comme ayant la dangerosité maximale.

Le correctif disponible depuis le 1er septembre

Dans son bulletin, ownCloud expliquait : « L'application "graphapi" s'appuie sur une bibliothèque tierce qui fournit une URL. Lorsque l'on accède à cette URL, elle révèle les détails de configuration de l'environnement PHP (phpinfo). Ces informations incluent toutes les variables d'environnement du serveur web. Dans les déploiements conteneurisés, ces variables d'environnement peuvent inclure des données sensibles telles que le mot de passe administrateur ownCloud, les informations d'identification du serveur de messagerie et la clé de licence ».

La société ajoutait non seulement que la désactivation de graphapi (versions 0.2.0 et 0.3.0 vulnérables) n’éliminait pas la vulnérabilité, mais en outre que phpinfo exposait « divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système ». En conséquence, la faille devait constituer une « source d’inquiétude » même en cas d’environnement non conteneurisé.

Le bulletin informait d’actions à prendre, notamment la suppression du fichier GetPhpInfo.php et la modification de plusieurs secrets : mot de passe administrateur ownCloud, identifiants du serveur de messagerie, informations d’identification de la base de données et la clé d’accès Object-Store/S3.

La fonction phpinfo a été désactivée sur les conteneurs Docker et plusieurs renforcements seront ajoutés dans les prochaines versions d’ownCloud. La version 0.3.1 de graphapi, comprenant le correctif, est disponible depuis le 1er septembre.

L’exploitation n’a pas tardé

Les chercheurs de Greynoise ont averti dès le 27 novembre qu’une exploitation massive avait commencé. Cette activité a été enregistrée sur leurs faux serveurs ownCloud qui constituaient autant de pots de miel, s’affichant comme des serveurs authentiques et vulnérables.

La dangerosité réelle de la faille CVE-2023-49103 fait en quelque sorte débat. Pour certains, comme The Shadowserver Foundation, elle est très concrète : « Sans surprise, étant donné la facilité d'exploitation, nous avons commencé à voir des tentatives de CVE-2023-49103 d'OwnCloud. Il s'agit d'une divulgation CVSS 10 d'informations d'identification et de configurations sensibles dans des déploiements conteneurisés. Veuillez suivre les étapes d'atténuation de l'avis d'ownCloud ».

D’autres, comme le chercheur Kevin Beaumont, mettent en avant plusieurs facteurs qui limitent au contraire cette dangerosité et le fait que la faille est actuellement considérée comme une menace généralisée. La vulnérabilité CVE-2023-49103 n’a ainsi été introduite qu’en 2020, n’est pas exploitable par défaut et n’est présente dans les conteneurs que depuis février dernier.

Effectivement, quand on regarde la page dédiée à graphapi sur le site officiel d’ownCloud, on peut voir que cette application, basée sur l’API Microsoft Graph, n’est présente que dans 853 installations (chiffre du 1er septembre).

D’un autre côté, le scanner lancé par The Shadowserver Foundation montrait il y a deux jours que plus de 11 000 installations ownCloud étaient accessibles. Comme le précise l’organisation, ce nombre ne tient pas compte du critère de vulnérabilité. Mais d’après ownCloud elle-même, les installations non conteneurisées doivent être une « source d’inquiétude », la vigilance reste donc de mise.

D’autres failles importantes colmatées le 21 novembre

Autre point de vigilance, la correction de deux autres failles supplémentaires mentionnées dans le bulletin du 21 novembre.

Estampillées CVE-2023-49104 et CVE-2023-49105, ces vulnérabilités sont également très sérieuses. La première a ainsi un score de 9 et permet le contournement de validation de sous-domaine. Elle peut être exploitée en utilisant une URL spécialement conçue de redirection, renvoyant ainsi les appels vers un domaine contrôlé par les pirates. Il est nécessaire de renforcer le code de validation dans l’application oauth2, par exemple en désactivant l’option « Allow Subdomains », ou utiliser une version plus récente d’oauth2 (au moins la 0.6.1).

La seconde, notée 9,8, permet un contournement de l’authentification dans l’API WebDAV via l’utilisation d’URL pré-signées. Son exploitation permet d’ « accéder, modifier ou supprimer n'importe quel fichier sans authentification si le nom d'utilisateur de la victime est connu et que la victime n'a pas de clé de signature configurée (ce qui est le cas par défaut) », explique ownCloud dans son bulletin. Solution, refuser les URL pré-signées si aucune clé de signature n’a été définie pour le propriétaire des fichiers, ou passer à une version corrigée d’ownCloud Server (au moins la 10.13.1).

Ces deux brèches ne font a priori pas l’objet d’exploitation massive actuellement, comme peut l’être la CVE-2023-49103. Cependant, au vu de la situation délicate actuelle, un surplus de méfiance est de mise.