ownCloud 重要安全漏洞

关键要点

详细信息

在ownCloud文件共享服务中发现了一个严重的安全缺陷，当前正被“积极利用”，这也是在其公开后的短短几天内发生的。这个漏洞被跟踪为CVE202349103，属于信息泄露错误，且具有最高CVSS严重性得分10。受害者面临敏感数据泄露的风险，包括与ownCloud的graphapi应用相关的密码和其他凭据。根据上周二发布的安全公告，该漏洞被确认。

据威胁情报公司GreyNoise报道，过去七天内，攻击者通过扫描 vulnerable 的ownCloud端口来追踪该漏洞。GreyNoise在一份警报中表示：“带有此标签的IP地址已被观察到尝试利用CVE202349103，ownCloud的Graph API应用中的信息泄露漏洞。”

Rapid7的首席安全研究员Stephen Fewer表示，尽管该漏洞危及重大，但攻击者需要付出相当大的努力才能利用它。他在AttackerKB网站上指出，该漏洞需依赖于ownCloud的“非典型配置”才能被利用。

Fewer指出：“一些ownCloud的安装可能包含一个易受攻击的graphapi应用程序，它暴露了一个PHP端点/apps/graphapi/vendor/microsoft/microsoftgraph/tests/GetPhpInfophp，允许攻击者查看phpinfo()函数的输出。此输出可能包含敏感信息，如存储在环境变量中的密钥。然而，成功到达目标端点需要特定配置，并不是所有实例的ownCloud，即便它们安装了易受攻击的graphapi应用程序，实际上都是易受攻击的。”

恶意行为者利用机会进行攻击

ownCloud于11月21日公开披露了该漏洞，而威胁行为者在仅仅四天后就开始尝试利用该漏洞。GreyNoise的安全研究和检测工程高级总监Glenn Thorpe在一篇11月27日的博文中指出，GreyNoise目前已追踪到40个独立IP尝试利用这一关键漏洞。

截至本撰写时，尚未确认有与该漏洞相关的黑客事件发生。一位ownCloud客户论坛用户表示，他收到了自称来自“LockBit黑客组织”的消息，并称其文件正被删除。SC Media无法确认该报告。该用户后来报告称，通过follow ownCloud的建议升级服务器并白名单安全IP后，一切已“恢复正常”。

SC Media已联系ownCloud以获得有关漏洞利用程度的更多信息，但尚未收到回复。

ownCloud同时宣布了CVE202349103及另外两个漏洞CVE202349104 和 CVE202349105。前者具有高达87的CVSS评分，允许攻击者绕过oauth2应用的子域名验证，将回调重定向到其自己的顶级域；后