Threat Actors Started Exploiting Critical ownCloud Flaw CVE-2023-49103
2023/11/28 SecurityAffairs — ownCloud は、ファイルの同期/共有のために設計されたオープンソースのソフトウェア・プラットフォームであり、個人や組織による独自のプライベート・クラウド・ストレージ・サービスの作成を可能にするものだ。先日に発見された脆弱性 CVE-2023-49103 は、Graphapi アプリが URL 取得のために依存する、サードパーティ製の GetPhpInfo.php に存在するものだ。この URL アクセスにより、PHP 環境のコンフィグレーション情報 (phpinfo) が公開されてしまう。
公開される情報には、Web サーバの全ての環境変数が含まれている。同社のアドバイザリによると、コンテナ化されたデプロイメントにおける環境変数には、ownCloud 管理者パスワード/メールサーバー認証情報/ライセンスキーなどの機密データが含まれる可能性があるという。
この脆弱性は、ownCloud owncloud/graphapi の 0.2.1 以前の 0.2.x および 0.3.1 以前の 0.3.x に影響を及ぼすという。脅威アクターたちは、すでに脆弱性 CVE-2023-49103 を悪用していると、複数のサイバー・セキュリティ企業が報告している。
サイバー・セキュリティ企業の GreyNoise は、この脆弱性が野放し状態で悪用され、それによる攻撃が短期間で広まっている状況を観測している。GreyNoise は、「2023年11月25日の時点で、この脆弱性の大規模な悪用を観測した」と報告している。
非営利のサイバーセキュリティ組織 Shadowserver Foundation の研究者たちは、インターネットに公開されている 11,000以上の ownCloud インスタンスを特定した。露出しているインスタンスの大半は、ドイツ (2K)/米国 (1,4K)/フランス (1,3K) に分布している。
その一方で、サイバー・セキュリティ企業 Onyphe は、この攻撃の影響を軽視している。同社による報告は、公開されている 19,453 の IP アドレスのうち、phpinfo() を公開している IP アドレスは僅か 675 であるというものだ。
研究者たちが管理者に対して推奨しているのは、ownCloud のアドバイザリに記載されているアクションを直ちに実行することだ。
ownCloud の脆弱性 CVE-2023-49103 ですが、第一報は 2023/11/24 の「ownCloud の3つの深刻な脆弱性:管理者のパスワードなどが漏えいする可能性」となっています。その時の記事では、3件の脆弱性が解説されていますが、その中の1つを、脅威アクターたちが狙っているようです。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.