ownCloud یک نرمافزار Open Source میباشد که جهت ذخیرهسازی اطلاعات در یک فضای شخص ثالث مورد استفاده قرار میگیرد. اخیرا سه آسیبپذیری امنیتی بحرانی در این نرمافزار کشف شده است که به طور بالقوه میتوان گذرواژههای مدیر و اعتبار سرور ایمیل را فاش کرد. ownCloud یک انتخاب محبوب برای مشاغل، مؤسسات آموزشی، سازمانهای دولتی و افرادی است که حریم خصوصی را در اولویت قرار میدهند. این نرمافزار به کاربران اجازه میدهد تا فایلها را از طریق یک پلتفرم خود میزبانی شده مدیریت و به اشتراک بگذارند، در نتیجه جایگزینی برای ارائهدهندگان ذخیرهسازی ابری شخص ثالث فراهم میکند. این نرمافزار 200000 نصب شده است، 600 مشتری سازمانی و 200 میلیون کاربر دارد و از چندین کتابخانه و مؤلفه تشکیل شده است که با هم کار میکنند تا عملکردهای مختلفی را در زمینه ذخیرهسازی ابری ارائه دهند. تیم توسعه نرمافزار، سه بولتن امنیتی صادر کرد که به کاربران در خصوص آسیبپذیریهایی که میتواند به طور جدی یکپارچگی ownCloud را به خطر بیندازد، هشدار دهد.
• آسیبپذیری که با شناسه CVE-2023-49103
اولین آسیبپذیری با شناسه CVE-2023-49103 و شدت بحرانی 10، میتواند جهت سرقت اطلاعات کاربری و اطلاعات پیکربندی در بستههای نرمافزاری مورد بهرهبرداری قرار گیرد. این برنامه graphapi بر اساس یک کتابخانه GetPhpInfo.php از شخص ثالث استفاده و یک URL فراهم میکند. هنگام دسترسی به این URL، جزئیات پیکربندی محیط PHP (phpinfo) به نمایش درآمده و این اطلاعات شامل تمام متغیرهای محیط وبسرور میشود.
توصیه امنیتی
• حذف یک فایل خاص:
owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
• غیرفعال کردن تابع "phpinfo" در containerهای Docker و تغییر رمزهای مورد استفاده
• آسیبپذیری که با شناسه CVE-2023-49105
دومین آسیبپذیری با شناسه CVE-2023-49105 و شدت بحرانی 9.8، یک مشکل در ownCloud نسخههای قبل از 10.13.1 در ماژول owncloud/core بهشمار میآید. اگر نام کاربری قربانی شناخته شده باشد و قربانی هیچ کلید امضاکنندهای پیکربندی نکرده باشد، مهاجم قادر به دسترسی، اصلاح یا حذف هر فایلی بدون نیاز به احراز هویت خواهد بود. این اتفاق به دلیل قبول شدن URLهای پیشامضاءشده حتی زمانی که هیچ کلید امضاکنندهای برای صاحب فایلها پیکربندی نشده باشد، رخ میدهد.
توصیه امنیتی
برای رفع این آسیبپذیری در ownCloud، توصیه میشود که اگر هیچ کلید امضا (signing key) برای کاربر پیکربندی نشده باشد، استفاده از URLهای پیشامضاءشده (pre-signed URLs) را انکار کنید. به عبارت دیگر، اگر کاربر مشخصی هنگام استفاده از ownCloud از کلید امضا استفاده نکرده باشد، این سرویس باید اجازه دسترسی به فایلها از طریق URLهای پیشامضاءشده را به او ندهد. این تدابیر اضافی باعث کاهش ریسک آسیبپذیری و تقویت امنیت سیستم ownCloud میشود.
• آسیبپذیری که با شناسه CVE-2023-49104
سومین آسیبپذیری با شناسه CVE-2023-49105 و شدت 8.7. در ownCloud نسخه owncloud/oauth2 پایینتر از 0.6.1، کشف شده است و هنگامی رخ خواهد داد که گزینه Allow Subdomains فعال است. مهاجم قادر است یک URL تغییر یافته را که از اعتبارسنجی گذشتهاست به آن بفرستد و نتیجهاش این میباشد که مهاجم میتواند بازگردانی Top Level Domain توسط خودش را راهاندازی کند.
توصیه امنیتی
• تقویت کد اعتبارسنجی
• غیرفعال کردن گزینه "Allow Subdomains" به عنوان یک راهحل موقت
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2023-49103
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-49104
[3]https://nvd.nist.gov/vuln/detail/CVE-2023-49105
[4]https://vulnera.com/newswire/critical-security-flaws-in-owncloud-file-sharing-app-could-expose-admi…
[5]https://isp.page/news/critical-bug-in-owncloud-file-sharing-app-exposes-admin-passwords/#gsc.tab=0
- 18