ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

La semaine dernière, ownCloud a averti d’une très importante faille de sécurité dans sa solution de partage de fichiers. Cette vulnérabilité, atteignant 10 (soit le maximum) sur l’échelle de gravité, est désormais exploitée largement. Les risques sont grands : vol de mots de passe et de clés cryptographiques, entre autres.

Vincent Hermann

Le 29 novembre 2023 à 15h57

5 min

Sécurité

ownCloud est une plateforme de services open source, proposant du stockage et du partage de fichiers. Le 21 novembre, la société a publié un bulletin avertissant d’une très importante faille de sécurité dans leur solution. Notée 10 et numérotée CVE-2023-49103, elle est considérée comme ayant la dangerosité maximale.

Le correctif disponible depuis le 1er septembre

Dans son bulletin, ownCloud expliquait : « L'application "graphapi" s'appuie sur une bibliothèque tierce qui fournit une URL. Lorsque l'on accède à cette URL, elle révèle les détails de configuration de l'environnement PHP (phpinfo). Ces informations incluent toutes les variables d'environnement du serveur web. Dans les déploiements conteneurisés, ces variables d'environnement peuvent inclure des données sensibles telles que le mot de passe administrateur ownCloud, les informations d'identification du serveur de messagerie et la clé de licence ».

La société ajoutait non seulement que la désactivation de graphapi (versions 0.2.0 et 0.3.0 vulnérables) n’éliminait pas la vulnérabilité, mais en outre que phpinfo exposait « divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système ». En conséquence, la faille devait constituer une « source d’inquiétude » même en cas d’environnement non conteneurisé.

Le bulletin informait d’actions à prendre, notamment la suppression du fichier GetPhpInfo.php et la modification de plusieurs secrets : mot de passe administrateur ownCloud, identifiants du serveur de messagerie, informations d’identification de la base de données et la clé d’accès Object-Store/S3.

La fonction phpinfo a été désactivée sur les conteneurs Docker et plusieurs renforcements seront ajoutés dans les prochaines versions d’ownCloud. La version 0.3.1 de graphapi, comprenant le correctif, est disponible depuis le 1er septembre.

L’exploitation n’a pas tardé

Les chercheurs de Greynoise ont averti dès le 27 novembre qu’une exploitation massive avait commencé. Cette activité a été enregistrée sur leurs faux serveurs ownCloud qui constituaient autant de pots de miel, s’affichant comme des serveurs authentiques et vulnérables.

La dangerosité réelle de la faille CVE-2023-49103 fait en quelque sorte débat. Pour certains, comme The Shadowserver Foundation, elle est très concrète : « Sans surprise, étant donné la facilité d'exploitation, nous avons commencé à voir des tentatives de CVE-2023-49103 d'OwnCloud. Il s'agit d'une divulgation CVSS 10 d'informations d'identification et de configurations sensibles dans des déploiements conteneurisés. Veuillez suivre les étapes d'atténuation de l'avis d'ownCloud ».

D’autres, comme le chercheur Kevin Beaumont, mettent en avant plusieurs facteurs qui limitent au contraire cette dangerosité et le fait que la faille est actuellement considérée comme une menace généralisée. La vulnérabilité CVE-2023-49103 n’a ainsi été introduite qu’en 2020, n’est pas exploitable par défaut et n’est présente dans les conteneurs que depuis février dernier.

Effectivement, quand on regarde la page dédiée à graphapi sur le site officiel d’ownCloud, on peut voir que cette application, basée sur l’API Microsoft Graph, n’est présente que dans 853 installations (chiffre du 1er septembre).

D’un autre côté, le scanner lancé par The Shadowserver Foundation montrait il y a deux jours que plus de 11 000 installations ownCloud étaient accessibles. Comme le précise l’organisation, ce nombre ne tient pas compte du critère de vulnérabilité. Mais d’après ownCloud elle-même, les installations non conteneurisées doivent être une « source d’inquiétude », la vigilance reste donc de mise.

D’autres failles importantes colmatées le 21 novembre

Autre point de vigilance, la correction de deux autres failles supplémentaires mentionnées dans le bulletin du 21 novembre.

Estampillées CVE-2023-49104 et CVE-2023-49105, ces vulnérabilités sont également très sérieuses. La première a ainsi un score de 9 et permet le contournement de validation de sous-domaine. Elle peut être exploitée en utilisant une URL spécialement conçue de redirection, renvoyant ainsi les appels vers un domaine contrôlé par les pirates. Il est nécessaire de renforcer le code de validation dans l’application oauth2, par exemple en désactivant l’option « Allow Subdomains », ou utiliser une version plus récente d’oauth2 (au moins la 0.6.1).

La seconde, notée 9,8, permet un contournement de l’authentification dans l’API WebDAV via l’utilisation d’URL pré-signées. Son exploitation permet d’ « accéder, modifier ou supprimer n'importe quel fichier sans authentification si le nom d'utilisateur de la victime est connu et que la victime n'a pas de clé de signature configurée (ce qui est le cas par défaut) », explique ownCloud dans son bulletin. Solution, refuser les URL pré-signées si aucune clé de signature n’a été définie pour le propriétaire des fichiers, ou passer à une version corrigée d’ownCloud Server (au moins la 10.13.1).

Ces deux brèches ne font a priori pas l’objet d’exploitation massive actuellement, comme peut l’être la CVE-2023-49103. Cependant, au vu de la situation délicate actuelle, un surplus de méfiance est de mise.

Commentaires (16)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

zefling Premium

Le 29/11/2023 à 16h21

Son fork, Nextcloud, ne semble pas concerné par cette faille.

fry

Le 29/11/2023 à 16h25

je me posais la question, merci
(faudra que je vérifie mes installs quand même

)

white_tentacle Premium

Le 29/11/2023 à 16h33

Nextcloud

C’est plus que « ne semble pas », c’est très clair que nextcloud n’est pas affecté par cette faille spécifique.

dalf

Le 29/11/2023 à 16h38

Out of topic: NextCloud qui vient de racheter RoundCube:

Nextcloud

C'est au moins rassurant sur cet aspect.

Gorom Premium

Le 30/11/2023 à 09h07

Merci pour l'info.

al_bebert Premium

Modifié le 29/11/2023 à 16h54

c'est pas l'inverse ? own fork de next ?

SebGF Premium

Le 29/11/2023 à 18h37

Non, Nextcloud est un fork de ownCloud. Mais depuis ils commencent à ne plus avoir grand chose en commun je pense.

lexiii

Le 29/11/2023 à 20h16

owncloud est bien plus vieux que nextCloud ;) et est à l'initiative du projet

al_bebert Premium

Le 29/11/2023 à 20h27

de mémoire c'était l'inverse, et je pensais même être sur owncloud (sachant être sur le fork) mais en fait je suis bien sur nextcloud.

Bref vivement les vacances !

al_bebert Premium

Modifié le 29/11/2023 à 16h54

non rien suis sur nextcloud en fait, je fatigue moi

fdorin Premium

Le 29/11/2023 à 17h19

Proposition de sous-titre : ownCloud devient pwnedCloud !

Vincent Hermann Équipe

Le 29/11/2023 à 17h42

C'est cruel

fred42 Premium

Le 29/11/2023 à 17h59

10/10

HerrFrance Premium

Le 29/11/2023 à 17h56

TIL qu'Owncloud existe toujours... Je ne vois plus que nextcloud dans le paysage au quotidien

lexiii

Le 29/11/2023 à 20h17

Un peu comme mysql, open office mais apparemment oui. Je me suis fait la même reflexion.

julkidi

Le 29/11/2023 à 23h31

Du coup, j'ai foncé voir mes màj NextCloud sans lire les comm'

Ca m'apprendra à pas lire les poings Dev ;-)