هشدار: در معرض رخنه قرارگرفتن داده‌های کاربران ownCloud به علت 3 آسیب‌پذیری حیاتی - مرکز پژوهشی آپا

سازندگان نرم‌افزار به‌اشتراک‌گذاری فایل منبع‌باز ownCloud نسبت به سه نقص امنیتی مهم هشدار داده‌اند که می‌تواند برای افشای اطلاعات حساس و اصلاح فایل‌ها مورد بهره‌برداری قرار گیرد.

شرح مختصری از این آسیب‌پذیری‌ها به شرح زیر است:

افشای اعتبار و پیکربندی حساس در استقرارهای کانتینری که بر نسخه‌های graphapi از ۰٫۲٫۰ تا ۰٫۳٫۰ تأثیر می‌گذارند. (امتیاز ۱۰ از ۱۰ در مقیاس CVSS)
دورزدن احراز هویت Api WebDAV با استفاده از URLهای از پیش ‌امضا شده که بر نسخه‌های اصلی از ۱۰٫۶٫۰ تا ۱۰٫۱۳٫۰ تأثیر می‌گذارد (امتیاز ۸/۹ از ۱۰ در مقیاس CVSS)
دورزدن اعتبارسنجی زیردامنه بر روی oauth2 قبل از نسخه ۰٫۶٫۱ تأثیر می‌گذارد (ا امتیاز ۹ از ۱۰ در مقیاس CVSS)

این شرکت در مورد اولین نقص گفت[۱]: “برنامه ‘graphapi’ متکی به یک کتابخانه شخص ثالث است که URL را ارائه می‌دهد. هنگامی که به این URL دسترسی پیدا می شود، جزئیات پیکربندی محیط PHP (phpinfo) را نشان می دهد.”

“این اطلاعات شامل تمام متغیرهای محیطی سرور وب است. در استقرارهای کانتینری، این متغیرهای محیطی ممکن است شامل داده‌های حساسی مانند رمز عبور سرپرست ownCloud، اعتبار سرور ایمیل و کلید مجوز باشند.”

به‌عنوان یک راه‌حل، ownCloud توصیه می‌کند فایل “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” را حذف کرده و عملکرد “phpinfo” را غیرفعال کنید. همچنین به کاربران توصیه می‌کند که اسرار خود را مانند رمز عبور مدیریت ownCloud، اعتبار سرور ایمیل و پایگاه‌داده، و کلیدهای دسترسی Object-Store/S3 را تغییر دهند.

مشکل دوم[۲] امکان دسترسی، تغییر یا حذف هر فایل را بدون احراز هویت ممکن می‌سازد اگر نام کاربری قربانی شناخته شده باشد و قربانی پیکربندی signing-key را نداشته باشد که در حالت پیش‌فرض نیز این پیکربندی وجود ندارد.

در نهایت، سومین نقص[۳] به یک مورد کنترل دسترسی نامناسب مربوط می‌شود که به مهاجم اجازه می‌دهد “در یک آدرس تغییر مسیر خاص ساخته شده کد اعتبارسنجی را دور بزند و در نتیجه تماس‌ها را به TLD کنترل شده توسط مهاجم تغییر مسیر دهد.”

علاوه بر افزودن اقدامات سخت‌کننده به کد اعتبارسنجی در برنامه oauth2، ownCloud به کاربران پیشنهاد کرده است که گزینه «Allow Subdomains» را به‌عنوان یک راه‌حل غیرفعال کنند.

این افشاگری زمانی صورت می‌گیرد که یک بهره‌بردار اثبات ادعا (PoC) برای یک آسیب‌پذیری اجرای کد از راه دور حیاتی در راه‌حل CrushFTP ([4]CVE-2023-43177) منتشر شده است[۵] که می‌تواند توسط یک مهاجم غیرقانونی برای دسترسی به فایل‌ها، اجرای برنامه‌های دلخواه روی Host و به‌دست‌آوردن رمزهای عبور متن ساده مورداستفاده قرار گیرد.

این مشکل در نسخه ۱۰٫۵٫۲ CrushFTP که در ۱۰ آگوست ۲۰۲۳ منتشر شد[۶]، برطرف شده است.

CrushFTP در توصیه‌ای که در آن زمان منتشر شد، خاطرنشان کرد[۷]: «این آسیب‌پذیری بسیار مهم است، زیرا به هیچ‌گونه احراز هویت نیاز ندارد. این کار می‌تواند به‌صورت ناشناس انجام شود و جلسه سایر کاربران را بدزدد و به یک کاربر مدیر تبدیل شود.»

منابع

[۱] https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments

[۲] https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls

[۳] https://owncloud.com/security-advisories/subdomain-validation-bypass

[۴] https://nvd.nist.gov/vuln/detail/CVE-2023-43177

[۵] https://convergetp.com/2023/11/16/crushftp-zero-day-cve-2023-43177-discovered/

[۶] https://www.crushftp.com/version10_build.html

[۷] https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update

[۸] https://thehackernews.com/2023/11/warning-3-critical-vulnerabilities.html