OwnCloud : une vulnérabilité critique déjà activement exploitée

La plus critique des trois vulnérabilités d’OwnCloud révélées la semaine dernière semble faire l’objet d’une exploitation active depuis lundi.

Mardi dernier, la plateforme logicielle open source OwnCloud a détaillé trois vulnérabilités affectant ses produits de partage et de synchronisation de fichiers. La première est une vulnérabilité de contournement de l’authentification de l’API WebDAV, référencée CVE-2023-49105, qui a reçu un score CVSS de 9,8, et la seconde est une faille de contournement de la validation du sous-domaine, référencée CVE-2023-49104, au score CVSS légèrement inférieur de 8,7.

La troisième vulnérabilité d’OwnCloud, CVE-2023-49103, s’est vue attribuer le score CVSS le plus élevé possible de 10 et pourrait permettre à un attaquant de recueillir des informations sensibles sur les instances OwnCloud affectées. OwnCloud a averti que l’exploitation de cette faille critique pourrait permettre à un pirate de recueillir des informations sur le mot de passe de l’administrateur, les informations d’identification du serveur de messagerie et les clés de licence. 

La CVE-2023-49103 affecte les versions 0.2.0 à 0.3.0 de l’application Microsoft Graph API d’OwnCloud. Un avis de sécurité publié le 21 novembre invite les utilisateurs à supprimer le fichier owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. Le fournisseur a également recommandé de modifier les mots de passe administrateur d’OwnCloud, les informations d’identification du serveur de messagerie et de la base de données, ainsi que les clés d’accès à S3. « Il est important de souligner que la simple désactivation de l’application graphapi n’élimine pas la vulnérabilité », précise l’avis de sécurité.

L’urgence de traiter cette vulnérabilité s’est accrue lundi après que l’organisation de sécurité à but non lucratif The Shadowserver Foundation a révélé sur X, anciennement Twitter, qu’elle avait observé des tentatives d’exploitation de la CVE-2023-49103. La fondation a exhorté les utilisateurs à suivre les étapes d’atténuation de l’avis de sécurité d’OwnCloud en raison de la facilité d’exploitation.

Selon Onyphe, le nombre d’instances effectivement affectées s’avère relativement faible, du moins par rapport au nombre total d’instances OwnCloud exposées sur Internet : 675 adresses exposent le fichier concerné, pour près de 19 500 adresses IP hébergeant une instance de la plateforme de partage et synchronisation de fichiers.