Connexion
Abonnez-vous

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

La semaine dernière, ownCloud a averti d’une très importante faille de sécurité dans sa solution de partage de fichiers. Cette vulnérabilité, atteignant 10 (soit le maximum) sur l’échelle de gravité, est désormais exploitée largement. Les risques sont grands : vol de mots de passe et de clés cryptographiques, entre autres.

Le 29 novembre 2023 à 15h57

ownCloud est une plateforme de services open source, proposant du stockage et du partage de fichiers. Le 21 novembre, la société a publié un bulletin avertissant d’une très importante faille de sécurité dans leur solution. Notée 10 et numérotée CVE-2023-49103, elle est considérée comme ayant la dangerosité maximale.

Le correctif disponible depuis le 1er septembre

Dans son bulletin, ownCloud expliquait : « L'application "graphapi" s'appuie sur une bibliothèque tierce qui fournit une URL. Lorsque l'on accède à cette URL, elle révèle les détails de configuration de l'environnement PHP (phpinfo). Ces informations incluent toutes les variables d'environnement du serveur web. Dans les déploiements conteneurisés, ces variables d'environnement peuvent inclure des données sensibles telles que le mot de passe administrateur ownCloud, les informations d'identification du serveur de messagerie et la clé de licence ».

La société ajoutait non seulement que la désactivation de graphapi (versions 0.2.0 et 0.3.0 vulnérables) n’éliminait pas la vulnérabilité, mais en outre que phpinfo exposait « divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système ». En conséquence, la faille devait constituer une « source d’inquiétude » même en cas d’environnement non conteneurisé.

Le bulletin informait d’actions à prendre, notamment la suppression du fichier GetPhpInfo.php et la modification de plusieurs secrets : mot de passe administrateur ownCloud, identifiants du serveur de messagerie, informations d’identification de la base de données et la clé d’accès Object-Store/S3.

La fonction phpinfo a été désactivée sur les conteneurs Docker et plusieurs renforcements seront ajoutés dans les prochaines versions d’ownCloud. La version 0.3.1 de graphapi, comprenant le correctif, est disponible depuis le 1er septembre.

L’exploitation n’a pas tardé

Les chercheurs de Greynoise ont averti dès le 27 novembre qu’une exploitation massive avait commencé. Cette activité a été enregistrée sur leurs faux serveurs ownCloud qui constituaient autant de pots de miel, s’affichant comme des serveurs authentiques et vulnérables.

La dangerosité réelle de la faille CVE-2023-49103 fait en quelque sorte débat. Pour certains, comme The Shadowserver Foundation, elle est très concrète : « Sans surprise, étant donné la facilité d'exploitation, nous avons commencé à voir des tentatives de CVE-2023-49103 d'OwnCloud. Il s'agit d'une divulgation CVSS 10 d'informations d'identification et de configurations sensibles dans des déploiements conteneurisés. Veuillez suivre les étapes d'atténuation de l'avis d'ownCloud ».

D’autres, comme le chercheur Kevin Beaumont, mettent en avant plusieurs facteurs qui limitent au contraire cette dangerosité et le fait que la faille est actuellement considérée comme une menace généralisée. La vulnérabilité CVE-2023-49103 n’a ainsi été introduite qu’en 2020, n’est pas exploitable par défaut et n’est présente dans les conteneurs que depuis février dernier.

Effectivement, quand on regarde la page dédiée à graphapi sur le site officiel d’ownCloud, on peut voir que cette application, basée sur l’API Microsoft Graph, n’est présente que dans 853 installations (chiffre du 1er septembre).

D’un autre côté, le scanner lancé par The Shadowserver Foundation montrait il y a deux jours que plus de 11 000 installations ownCloud étaient accessibles. Comme le précise l’organisation, ce nombre ne tient pas compte du critère de vulnérabilité. Mais d’après ownCloud elle-même, les installations non conteneurisées doivent être une « source d’inquiétude », la vigilance reste donc de mise.

D’autres failles importantes colmatées le 21 novembre

Autre point de vigilance, la correction de deux autres failles supplémentaires mentionnées dans le bulletin du 21 novembre.

Estampillées CVE-2023-49104 et CVE-2023-49105, ces vulnérabilités sont également très sérieuses. La première a ainsi un score de 9 et permet le contournement de validation de sous-domaine. Elle peut être exploitée en utilisant une URL spécialement conçue de redirection, renvoyant ainsi les appels vers un domaine contrôlé par les pirates. Il est nécessaire de renforcer le code de validation dans l’application oauth2, par exemple en désactivant l’option « Allow Subdomains », ou utiliser une version plus récente d’oauth2 (au moins la 0.6.1).

La seconde, notée 9,8, permet un contournement de l’authentification dans l’API WebDAV via l’utilisation d’URL pré-signées. Son exploitation permet d’ « accéder, modifier ou supprimer n'importe quel fichier sans authentification si le nom d'utilisateur de la victime est connu et que la victime n'a pas de clé de signature configurée (ce qui est le cas par défaut) », explique ownCloud dans son bulletin. Solution, refuser les URL pré-signées si aucune clé de signature n’a été définie pour le propriétaire des fichiers, ou passer à une version corrigée d’ownCloud Server (au moins la 10.13.1).

Ces deux brèches ne font a priori pas l’objet d’exploitation massive actuellement, comme peut l’être la CVE-2023-49103. Cependant, au vu de la situation délicate actuelle, un surplus de méfiance est de mise.

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Son fork, Nextcloud, ne semble pas concerné par cette faille.
votre avatar
je me posais la question, merci
(faudra que je vérifie mes installs quand même :D)
votre avatar
nextcloud.com Nextcloud

C’est plus que « ne semble pas », c’est très clair que nextcloud n’est pas affecté par cette faille spécifique.
votre avatar
Out of topic: NextCloud qui vient de racheter RoundCube: nextcloud.com Nextcloud

C'est au moins rassurant sur cet aspect.
votre avatar
Merci pour l'info.
votre avatar
c'est pas l'inverse ? own fork de next ?
votre avatar
Non, Nextcloud est un fork de ownCloud. Mais depuis ils commencent à ne plus avoir grand chose en commun je pense.
votre avatar
owncloud est bien plus vieux que nextCloud ;) et est à l'initiative du projet
votre avatar
de mémoire c'était l'inverse, et je pensais même être sur owncloud (sachant être sur le fork) mais en fait je suis bien sur nextcloud.

Bref vivement les vacances !
votre avatar
non rien suis sur nextcloud en fait, je fatigue moi
votre avatar
Proposition de sous-titre : ownCloud devient pwnedCloud ! :D
votre avatar
C'est cruel :D
votre avatar
10/10
votre avatar
TIL qu'Owncloud existe toujours... Je ne vois plus que nextcloud dans le paysage au quotidien
votre avatar
Un peu comme mysql, open office mais apparemment oui. Je me suis fait la même reflexion.
votre avatar
Du coup, j'ai foncé voir mes màj NextCloud sans lire les comm' :-D Ca m'apprendra à pas lire les poings Dev ;-)

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

  • Le correctif disponible depuis le 1er septembre

  • L’exploitation n’a pas tardé

  • D’autres failles importantes colmatées le 21 novembre

Fermer