GreyNoiseは11月27日(米国時間)、「CVE-2023-49103: ownCloud Critical Vulnerability Quickly Exploited in the Wild|GreyNoise Blog」において、オンラインストレージを構築するソフト「ownCloud」に緊急を含む複数の脆弱性が存在するとして、注意を喚起した。
対象の脆弱性に関する情報は次のページにまとまっている。
- Disclosure of sensitive credentials and configuration in containerized deployments - ownCloud
- Subdomain Validation Bypass - ownCloud
- WebDAV Api Authentication Bypass using Pre-Signed URLs - ownCloud
-
CVE-2023-49103: ownCloud Critical Vulnerability Quickly Exploited in the Wild|GreyNoise Blog
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- graphapi バージョン0.2.0
- graphapi バージョン0.3.0
- owncloud/oauth2 バージョン0.6.0およびこれ以前のバージョン
- owncloud/core バージョン10.6.0から10.13.0
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- graphapi バージョン0.2.1およびこれ以降のバージョン
- graphapi バージョン0.3.1およびこれ以降のバージョン
- owncloud/oauth2 バージョン0.6.1およびこれ以降のバージョン
- owncloud/core バージョン10.13.1およびこれ以降のバージョン
今回修正されたセキュリティ脆弱性は次のとおり。
- CVE-2023-49103 - graphapiアプリはURLを提供するサードパーティライブラリに依存している。このライブラリに含まれるGetPhpinfo.phpにアクセスするとPHPの設定情報(phpinfo)が表示されるため、Webサーバのすべての環境変数が表示される。コンテナ化されたデプロイメントでは環境変数にownCloudの管理者パスワード、メールサーバの認証情報、ライセンスキーなどの機密情報が含まれている場合があり、これらを窃取される可能性がある。この脆弱性はgraphapiを無効にしても解決しない
- CVE-2023-49104 - Allow Subdomainsが有効になっている場合、検証をバイパスする細工されたredirect-urlを渡すことができる。この脆弱性により、攻撃者は自身が制御するトップレベルドメインにコールバックをリダイレクトすることができる
- CVE-2023-49105 - ユーザー名が既知であり、かつ署名キーが設定されていない場合、認証なしで任意のファイルにアクセス、変更、削除することができる
これらのうち、深刻度が緊急(Critical)とされているものが2つあり、残りも重要(Important)とされているため注意が必要。また、GreyNoiseによるとCVE-2023-49103の脆弱性はすでに悪用が確認されているため、速やかに対処する必要があるとしている。
-
CVE-2023-49103の悪用とみられる攻撃件数の推移 引用:GreyNoise
ownCloudはこれら脆弱性への対策を上記のWebページにて公開している。ownCloudを利用している管理者は、ownCloudが公開している情報から影響を確認し、必要に応じて対策を講じると共に該当するプロダクトを速やかにアップデートすることが望まれている。
