ownCloud 重要安全漏洞

关键要点

• ownCloud文件共享服务存在一个关键安全漏洞（CVE-2023-49103），目前被“积极利用”。
• 此漏洞可能导致敏感数据如密码被泄露，CVSS严重性评分高达10。
• 尽管漏洞严重，攻击者需具备特定的配置才能利用此漏洞。
• ownCloud已于2023年11月21日公开该漏洞，随后不到一周内，攻击者开始尝试利用该漏洞。

详细信息

在ownCloud文件共享服务中发现了一个严重的安全缺陷，当前正被“积极利用”，这也是在其公开后的短短几天内发生的。这个漏洞被跟踪为，属于信息泄露错误，且具有最高CVSS严重性得分10。受害者面临敏感数据泄露的风险，包括与ownCloud的graphapi应用相关的密码和其他凭据。，该漏洞被确认。

据威胁情报公司报道，过去七天内，攻击者通过扫描
vulnerable的ownCloud端口来追踪该漏洞。GreyNoise在一份警报中表示：“带有此标签的IP地址已被观察到尝试利用CVE-2023-49103，ownCloud的GraphAPI应用中的信息泄露漏洞。”

Rapid7的首席安全研究员表示，尽管该漏洞危及重大，但攻击者需要付出相当大的努力才能利用它。他在AttackerKB网站上指出，该漏洞需依赖于ownCloud的“非典型配置”才能被利用。

Fewer指出
：“一些ownCloud的安装可能包含一个易受攻击的应用程序，它暴露了一个PHP端点/apps/graphapi/vendor/microsoft/microsoft-
graph/tests/GetPhpInfo.php，允许攻击者查看phpinfo()函数的输出。此输出可能包含敏感信息，如存储在环境变量中的密钥。然而，成功到达目标端点需要特定配置，并不是所有实例的ownCloud，即便它们安装了易受攻击的graphapi应用程序，实际上都是易受攻击的。”

恶意行为者利用机会进行攻击

ownCloud于11月21日公开披露了该漏洞，而威胁行为者在仅仅四天后就开始尝试利用该漏洞。GreyNoise的安全研究和检测工程高级总监GlennThorpe在一篇中指出，GreyNoise目前已追踪到40个独立IP尝试利用这一关键漏洞。

截至本撰写时，尚未确认有与该漏洞相关的黑客事件发生。一位表示，他收到了自称来自“LockBit黑客组织”的消息，并称其文件正被删除。SCMedia无法确认该报告。该用户后来报告称，通过follow ownCloud的建议升级服务器并白名单安全IP后，一切已“恢复正常”。

SC Media已联系ownCloud以获得有关漏洞利用程度的更多信息，但尚未收到回复。

ownCloud同时宣布了CVE-2023-49103及另外两个漏洞——
和
。前者具有高达8.7的CVSS评分，允许攻击者绕过oauth2应用的子域名验证，将回调重定向到其自己的顶级域；后