Conosci OwnCloud? Per certi versi è un cloud che ti permette di sincronizzare file in open source. Una scelta molto conveniente per chi non vuole affidarsi ad altri servizi (a volte a pagamento). Per questo gli hacker la stanno attaccando.
Sembra infatti che gli hacker abbiano trovato una vulnerabilità critica, tale da esporre le password e le chiavi di licenza. In pratica di controllare il cloud stesso, e i dati ivi inseriti.
OwnCloud sotto scacco degli hacker
Gli hacker stanno sfruttando una vulnerabilità critica di OwnCloud tracciata come CVE-2023-49103 che espone password di amministratore, credenziali del server di posta e chiavi di licenza nelle distribuzioni containerizzate.
A riferirlo è Bleeping Computer, in merito alla pubblicazione del 21 novembre di alcune segnalazioni da parte gli sviluppatori del software. Essi hanno pubblicato bollettini sulla sicurezza per tre vulnerabilità che potrebbero portare alla violazione dei dati, e hanno esortato gli amministratori di OwnCloud per applicare immediatamente le mitigazioni consigliate.
Dei tre difetti, CVE-2023-49103 ha ricevuto un punteggio di gravità CVSS massimo pari a 10,0. Cosa significa? Che la vulnerabilità consente a un qualsiasi hacker da remoto di individuare addirittura le credenziali archiviate all’interno del cloud.
Inoltre, se altri servizi utilizzano le stesse varianti e configurazioni, le stesse credenziali possono essere utilizzate anche per accedere a tali servizi, ampliando la violazione. Sfortunatamente, sfruttare CVE-2023-49103 per attacchi di furto di dati non è complicato e sono già stati scoperti autori di minacce che sfruttano questo genere di falla negli attacchi.
Come risolvere il problema
OwnCloud è un servizio di sincronizzazione e condivisione di file open source ampiamente utilizzato e progettato per coloro che desiderano gestire e condividere dati attraverso una piattaforma self-hosted.
A causa di questa vulnerabilità, come riporta l’ avviso CVE-2023-49103, c’è il rischio che possano essere esposti anche dati sensibili come la password dell’amministratore di OwnCloud, le credenziali del server di posta e la chiave di licenza.
Per via del crescente sfruttamento di questo difetto, si consiglia agli amministratori di OwnCloud di intraprendere azioni immediate per porre rimedio al rischio.
Al momento, la soluzione consigliata è eliminare il file ‘owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php‘ , disabilitare il file ‘phpinfo‘ nei contenitori Docker e modificare i segreti potenzialmente esposti come:
- la password dell’amministratore OwnCloud,
- il server di posta,
- le credenziali del database,
- le chiavi di accesso Object-Store/S3.
