Recent, au fost identificate trei vulnerabilități în anumite versiuni ale ownCloud, cea mai gravă fiind cunoscută că este sub atac activ. Organizațiilor din domeniul sănătății care rulează ownCloud li se recomandă să identifice instanțele vulnerabile și să priorizeze implementarea măsurilor de remediere propuse de experții cibernetici.
OwnCloud: soluția pentru colaborare sigură și eficientă în sectorul sănătății și alte industrii
Platforma ownCloud este descrisă pe site-ul său ca un "software open-source de sincronizare a fișierelor, partajare și colaborare asupra conținutului, care permite echipelor să lucreze cu datele ușor de oriunde, de pe orice dispozitiv."
Compania raportează 500 de clienți enterprise și 200 de milioane de utilizatori la nivel mondial. Servește sectorul de sănătate, printre alte industrii, unde a notat că "le permite utilizatorilor să colaboreze păstrând suveranitatea digitală, dându-le posibilitatea de a edita, partaja și accesa fișiere indiferent de dispozitiv sau locație.
Capabilitățile sale includ stocarea și partajarea în condiții de siguranță a datelor sensibile ale pacienților și colaborarea fără probleme între profesioniștii medicali, printre alte funcții. O prezentare detaliată a capabilităților poate fi găsită aici. Natura platformei necesită integrarea în infrastructura informațională a unei organizații pentru a funcționa, oferind astfel atacatorilor un obiectiv ce poate furniza acces la informații sensibile, precum și un punct de plecare pentru atacuri ulterioare.
Vulnerabilități
Pe 21 noiembrie 2023, ownCloud a publicat trei avertismente de securitate aplicabile platformei ownCloud:
- O vulnerabilitate de furt de credențiale și configurare în implementările containerizate, identificată cu CVE 2023-49103 și atribuită unui rating de severitate CVSS de 10.0 din 10.0. Această vulnerabilitate este legată de dependența aplicației de un subserviciu terț care expune detalii ale mediului PHP (phpinfo) printr-un URL, incluzând variabilele de mediu ale serverului web și, în implementările containerizate, parola de administrator ownCloud, credențialele serverului de mail și cheia de licență;
- O vulnerabilitate de bypass a autentificării API, identificată ca CVE-2023-49105 și atribuită unui rating de securitate CVSS de 9.8 din 10.0. Aceasta permite unui atacator să acceseze, modifice sau șteargă orice fișier fără autentificare dacă acestea au un nume de utilizator și folosesc un URL pre-semnat (fără cheie de semnare configurată);
- O vulnerabilitate de bypass a validării subdomeniului, identificată ca CVE-2023-49104 și atribuită unui rating de securitate CVSS de 9 din 10.0. Această vulnerabilitate permite unui atacator să introducă un URL de redirecționare manipulat care poate ocoli codul de validare a aplicației Oauth2, permițând redirecționarea apelurilor către un domeniu malefic.
Contramăsuri de atenuare
Soluțiile recomandate pentru cele trei vulnerabilități sunt următoarele:
- Vulnerabilitatea activ exploatată (CVE-2023-49103): Aceasta trebuie tratată cu cea mai mare prioritate. Dezactivarea aplicației graphapi nu elimină vulnerabilitatea. Organizațiile ar trebui să șteargă fișierul denumit "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php", să dezactiveze funcția 'phpinfo' în containere Docker și să schimbe secretele expuse, cum ar fi credențialele pentru administrarea ownCloud, serverul de mail, baza de date și cheia de acces la Object-Store/S3. Se precizează că containerele Docker create înainte de februarie 2023 nu sunt vulnerabile la divulgarea de credențiale;
- A doua vulnerabilitate (CVE-2023-49105): Interzicerea utilizării URL-urilor pre-semnate este soluția recomandată în absența configurației unei chei de semnare pentru proprietarul fișierelor. Utilizatorii ar trebui să evite utilizarea URL-urilor pre-semnate în situația în care nu este configurată nicio cheie de semnare, pentru a preveni accesul, modificarea sau ștergerea fișierelor de către atacatori;
- A treia vulnerabilitate: Se recomandă consolidarea codului de validare în aplicația Oauth2 pentru a rezolva problema de bypass a validării subdomeniului. Utilizatorii pot, temporar, dezactiva opțiunea "Permite Subdomenii" conform instrucțiunilor din buletin.
În ceea ce privește vulnerabilitatea CVE-2023-49105, OwnCloud a menționat că atacatorul ar trebui să cunoască numele de utilizator al victimei și să nu fie configurată nicio cheie de semnare. Configurarea cheii de semnare este setată implicit, iar utilizatorii ar trebui să evite utilizarea URL-urilor pre-semnate în lipsa acestei configurări pentru a preveni accesul neautentificat la fișiere, cu posibilitatea de a le accesa, modifica sau șterge.
Pentru a corecta problema de bypass a validării subdomeniului, OwnCloud recomandă consolidarea codului de validare în aplicația OAuth 2.0. Este important să se ia în considerare aceste măsuri pentru a proteja integritatea și securitatea datelor.
Avertizare urgentă către organizațiile utilizatoare
Ultimele atacuri au arătat că produsele de partajare a fișierelor sunt vizate des pentru atacurile cibernetice. În septembrie, experții au dezvăluit că peste 2.000 de organizații au fost afectate de un atac de tip ransomware, Clop, asupra produsului MoveIt Transfer al companiei Progress Software. În ianuarie, infractorii au profitat de o vulnerabilitate în software-ul de transfer de fișiere GoAnywhere al companiei Fortra, generând consecințe persistente până în aprilie.
Având în vedere aceste dezvăluiri recente, organizațiile sunt îndemnate să ia măsuri imediate pentru identificarea și corectarea rapidă a vulnerabilităților în platformele ownCloud, pentru asigurarea securității datelor și menținerea integrității și confidențialității acestora, atât în cadrul mediului sănătății, cât și în alte contexte.