Haavoittuvuus27/2023CVSS 10CVE-2023-49103 (Ulkoinen linkki)
ownCloud-tiedostonjako-ohjelmiston valmistaja on ilmoittanut tuotteessa havaitusta kriittisestä haavoittuvuudesta. Haavoittuvuus mahdollistaa hyökkääjälle pääsyn järjestelmässä olevaan osoitteeseen, josta saa luettua arkaluonteista tietoa.
Löydettyä haavoittuvuutta CVE-2023-49103 hyväksikäyttämällä hyökkääjä voi etänä, sekä ilman tunnistautumista, päästä selaamaan järjestelmässä olevaan osoitteeseen josta saa luettua arkaluonteista tietoa, kuten esimerkiksi salasanoja, tunnuksia sekä lisenssiavaimia. Näitä tunnuksia ja salasanoja hyväksikäyttämällä hyökkääjä voi mahdollisesti ottaa ownCloud -järjestelmän tai jopa muita järjestelmiä haltuun. Haavoittuvuus koskee järjestelmässä olevaa graphapi kirjastoa ja sen versioita 0.2.0 – 0.3.0. Haavoittuvuuden hyödyntämisen havainnollistava esimerkkikoodi (PoC) on julkisesti saatavilla, eikä sen käyttö vaadi syvällistä teknistä osaamista.
Ohjelmiston valmistaja on julkaissut haavoittuvuuden hyväksikäyttöä rajoittavia keinoja. Valmistaja on myös päivittänyt docker-konttiratkaisunsa, jonka avulla järjestelmä on mahdollista asentaa.
Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.
Päivitys 28.11.2023
Kyberturvallisuusyritys Greynoisen julkaisun (ulkoinen linkki) (Ulkoinen linkki) mukaan haavoittuvuuden hyväksikäyttöä on havaittu jo 25.11.2023 alkaen.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Haavoittuvuus koskee ownCloud-järjestelmän käyttämän graphapi-kirjaston versioita 0.2.0 – 0.3.0. Huomioitavaa kuitenkin on, että pelkästään graphapi-sovelluksen sulkeminen ei poista haavoittuvuutta. ownCloud-ohjelmiston valmistajan mukaan haavoittuva kirjasto ei ole ollut mukana heidän ennen vuoden 2023 helmikuuta julkaisemissa docker-konteissa.
Mistä on kysymys?
Valmistaja neuvoo poistamaan järjestelmästä owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php tiedoston haavoittuvuuden hyväksikäytön estämiseksi. Valmistaja myös neuvoo vaihtamaan salasanat, tunnukset sekä muut tunnistetiedot, joihin haavoittuvuutta hyväksikäyttämällä on voinut päästä käsiksi. Tarkista tiedot valmistajan suosittelemista rajoitustoimenpiteistä heidän julkaisemasta haavoittuvuustiedotteesta (Ulkoinen linkki).
Lisätty tieto haavoittuvuuden hyväksikäytöstä.