Un error crítico en la aplicación “ownCloud” para compartir archivos expone las contraseñas de administrador
AS-070-2023
Fecha: 28/Nov/2023
Resumen:
El software de código abierto para compartir archivos ownCloud, contiene tres vulnerabilidades de seguridad de gravedad crítica, incluida una que puede exponer las contraseñas de administrador y las credenciales del servidor de correo.
El sitio de OwnCloud informa que registra 200.000 instalaciones, 600 clientes empresariales y 200 millones de usuarios.
Riesgos graves de violación de datos
El equipo de desarrollo detrás del proyecto emitió tres boletines de seguridad advirtiendo sobre tres fallas diferentes en los componentes de ownCloud que podrían afectar gravemente la integridad.
La primera falla se rastrea como CVE-2023-49103 y recibió una puntuación CVSS v3 máxima de 10. La falla se puede usar para robar credenciales e información de configuración en implementaciones en contenedores, lo que afecta todas las variables de entorno del servidor web.
Al afectar a Graphapi 0.2.0 a 0.3.0, el problema surge de la dependencia de la aplicación de una biblioteca de terceros que expone los detalles del entorno PHP a través de una URL, exponiendo las contraseñas de administrador de ownCloud, las credenciales del servidor de correo y las claves de licencia.
La solución recomendada es eliminar el archivo 'owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php', desactivar la función 'phpinfo' en los contenedores Docker y cambiar secretos potencialmente expuestos como la contraseña de administrador de ownCloud, del servidor de correo, las credenciales de base de datos y claves de acceso a Object-Store/S3.
"Es importante enfatizar que simplemente deshabilitar la aplicación Graphapi no elimina la vulnerabilidad", advierte el boletín de seguridad.
El segundo problema, con una puntuación CVSS v3 de 9,8, afecta a las versiones 10.6.0 a 10.13.0 de la biblioteca principal de ownCloud y es un problema de omisión de autenticación .
La falla hace posible que los atacantes accedan, modifiquen o eliminen cualquier archivo sin autenticación si se conoce el nombre de usuario del usuario y no han configurado una clave de firma (configuración predeterminada).
La solución publicada es negar el uso de URL prefirmadas si no se configura ninguna clave de firma para el propietario de los archivos.
La tercera falla, menos grave (puntuación CVSS v3: 9) es un problema de omisión de validación de subdominio que afecta a todas las versiones de la biblioteca oauth2 inferiores a 0.6.1.
La mitigación recomendada es reforzar el código de validación en la aplicación Oauth2. Una solución temporal compartida en el boletín es desactivar la opción "Allow Subdomains ".
Las tres fallas de seguridad descritas en los boletines impactan significativamente la seguridad y la integridad del entorno ownCloud, lo que podría provocar la exposición de información confidencial, robo de datos sigiloso, ataques de phishing y más.
Recomendación.
Para mitigar estos riesgos es fundamental que los administradores de ownCloud apliquen inmediatamente las correcciones recomendadas y realicen las actualizaciones de la biblioteca lo antes posible.
Referencia:
