ownCloud の３つの深刻な脆弱性：管理者のパスワードなどが漏えいする可能性

Critical bug in ownCloud file sharing app exposes admin passwords

2023/11/24 BleepingComputer —ownCloud が警告しているのは、管理者のパスワードやメールサーバの認証情報の暴露に悪用される可能性のある、３件の深刻なセキュリティ脆弱性についてである。オープンソースのファイル同期／共有ソリューションである ownCloud は、セルフホスト型のプラットフォーム上で、ファイルを管理／共有する個人／組織向けに設計されている。

データのホスティングおいて、クラウド・ストレージ・プロバイダーよりも、自身による管理を好む民間企業／教育機関／政府機関や、プライバシーを重視する個人などに、OwnCloud は利用されている。同社のサイトでは、インストール数 200,000／企業顧客数 600／ユーザー数２億と報告されている。

OwnCloud のソフトウェアは複数のライブラリやコンポーネントで構成されており、それらが連携することで、このクラウドストレージ・プラットフォームに多様な機能が提供されている。

深刻なデータ漏洩リスク

11月21日に、このプロジェクトの開発チームは、ownCloud のコンポーネントに３種類の脆弱性が存在し、その完全性に深刻な影響を及ぼす可能性があると発表した。

１つ目の脆弱性 CVE-2023-49103 (CVSS：10.0) は、Web サーバの全ての環境変数に影響を与えるものであり、コンテナ化されたデプロイメントにおいて、認証情報と設定情報を盗むために悪用される可能性がある。この Graphapi 0.2.0〜0.3.0 に影響をおよぼす脆弱性は、URL を通じて PHP 環境の詳細を公開する、サードパーティ・ライブラリへの依存に起因するものだ。ownCloud の管理者パスワード／メールサーバ認証情報／ライセンスキー漏えいにつながる可能性がある。

この脆弱性の修正において推奨される方は、”owncloud/apps/graphapi/vendor/Microsoft/microsoft-graph/tests/GetPhpInfo.php” ファイルの削除と、Docker コンテナの “phpinfo” 関数の無効化である、それに加えて、ownCloud 管理者パスワード／メールサーバ／データベース認証情報／Object-Store/S3 アクセスキーなどの、公開される可能性のある機密情報を変更することだ。

同社のアドバイザリには、「重要なのは、Graphapi を無効化するだけでは、脆弱性は解消されないということだ。さらに、phpinfo には、システム情報の収集に悪用される、センシティブな設定の詳細がなどが数多く含まれている。したがって、ownCloud がコンテナ化された環境で動作していない場合でも、この脆弱性は懸念すべきものである」と記されている。

２つ目の脆弱性 (CVSS：9.8) は、認証バイパスを引き起こすものであり、ownCloud コアライブラリのバージョン 10.6.0〜10.13.0 に影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、ユーザー名が既知であり、署名キーを設定していない場合 (デフォルト設定) において、認証を必要とせずに任意のファイルへのアクセス／変更／削除を許すものである。公表されている解決策は、ファイルの所有者に署名キーが設定されていない場合には、署名済み URL の使用を拒否することである。

３つ目の脆弱性 (CVSS：9.0) は、0.6.1 未満の全バージョンの oauth2 ライブラリに影響をおよぼす、サブドメイン検証バイパスの脆弱性である。Oauth2 アプリにおいて、攻撃者は特別に細工されたリダイレクト URL を入力ができるようになり、検証コードをバイパスし、攻撃者が制御するドメインへのコールバックのリダイレクトが可能になる。推奨される緩和策は、Oauth2 アプリの検証コードを強化することである。アドバイザリで共有されている一時的な回避策は、”Allow Subdomains” オプションを無効化することだ。

この、新たに発表された３つのセキュリティ上の欠陥は、ownCloud 環境のセキュリティと完全性に大きな影響を与え、機密情報の漏洩／ステルス的なデータ盗難／フィッシング攻撃などにつながる可能性がある。

この種のファイル共有プラットフォームにおけるセキュリティ脆弱性は、世界中の数千の企業へのデータ窃盗攻撃で、Clop などのランサムウェア・グループに悪用され続けている。そのため、ownCloud の管理者は、これらのリスクを軽減するために、推奨される修正プログラムを直ちに適用し、ライブラリのアップデートを直ちに実行することが重要である。

ownCloud ですが、国内にも多くのユーザーがいると聞いたことがあります。ご利用のチームは、それぞれのアドバイザリを、ご参照ください。なお、現時点では、１つ目の脆弱性 CVE-2023-49103 だけが、CVE を持っているという状況です。よろしければ、Clop で検索も、ご利用ください。