Kriittinen haavoittuvuus ownCloud -tuotteessa

ownCloud-tiedostonjako-ohjelmiston valmistaja on ilmoittanut tuotteessa havaitusta kriittisestä haavoittuvuudesta. Haavoittuvuus mahdollistaa hyökkääjälle pääsyn järjestelmässä olevaan osoitteeseen, josta saa luettua arkaluonteista tietoa.

Löydettyä haavoittuvuutta CVE-2023-49103 hyväksikäyttämällä hyökkääjä voi etänä, sekä ilman tunnistautumista, päästä selaamaan järjestelmässä olevaan osoitteeseen josta saa luettua arkaluonteista tietoa, kuten esimerkiksi salasanoja, tunnuksia sekä lisenssiavaimia. Näitä tunnuksia ja salasanoja hyväksikäyttämällä hyökkääjä voi mahdollisesti ottaa ownCloud -järjestelmän tai jopa muita järjestelmiä haltuun. Haavoittuvuus koskee järjestelmässä olevaa graphapi kirjastoa ja sen versioita 0.2.0 – 0.3.0. Haavoittuvuuden hyödyntämisen havainnollistava esimerkkikoodi (PoC) on julkisesti saatavilla, eikä sen käyttö vaadi syvällistä teknistä osaamista.

Ohjelmiston valmistaja on julkaissut haavoittuvuuden hyväksikäyttöä rajoittavia keinoja. Valmistaja on myös päivittänyt docker-konttiratkaisunsa, jonka avulla järjestelmä on mahdollista asentaa.

Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.

Päivitys 28.11.2023
Kyberturvallisuusyritys Greynoisen julkaisun (ulkoinen linkki) mukaan haavoittuvuuden hyväksikäyttöä on havaittu jo 25.11.2023 alkaen.

Haavoittuvuuden kohde

Haavoittuvuus koskee ownCloud-järjestelmän käyttämän graphapi-kirjaston versioita 0.2.0 – 0.3.0. Huomioitavaa kuitenkin on, että pelkästään graphapi-sovelluksen sulkeminen ei poista haavoittuvuutta. ownCloud-ohjelmiston valmistajan mukaan haavoittuva kirjasto ei ole ollut mukana heidän ennen vuoden 2023 helmikuuta julkaisemissa docker-konteissa.

Mistä on kysymys?

Valmistaja neuvoo poistamaan järjestelmästä owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php tiedoston haavoittuvuuden hyväksikäytön estämiseksi. Valmistaja myös neuvoo vaihtamaan salasanat, tunnukset sekä muut tunnistetiedot, joihin haavoittuvuutta hyväksikäyttämällä on voinut päästä käsiksi. Tarkista tiedot valmistajan suosittelemista rajoitustoimenpiteistä heidän julkaisemasta haavoittuvuustiedotteesta.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.