El software de código abierto para compartir archivos
ownCloud
advierte sobre tres vulnerabilidades de seguridad de gravedad crítica, incluida una que puede exponer las contraseñas de administrador y las
credenciales del servidor de correo.
ownCloud es utilizado por empresas, institutos educativos, agencias
gubernamentales y personas preocupadas por la privacidad que prefieren
mantener el control sobre sus datos en lugar de alojarlos en proveedores de
almacenamiento en la nube de terceros. El sitio de
OwnCloud informa 200.000 instalaciones, 600 clientes empresariales y 200 millones de usuarios.
El software consta de múltiples bibliotecas y componentes que trabajan juntos
para proporcionar una variedad de funcionalidades para la plataforma de
almacenamiento en la nube.
Riesgos graves de violación de datos
El equipo de desarrollo detrás del proyecto emitió tres boletines de seguridad
a principios de esta semana, advirtiendo sobre tres fallas diferentes en los
componentes de ownCloud que podrían afectar gravemente su integridad.
La primera falla se rastrea como
CVE-2023-49103
y recibió una puntuación CVSS v3 máxima de 10. La falla se puede usar para
robar credenciales e información de configuración
en implementaciones en contenedores, lo que afecta todas las variables de
entorno del servidor web.
Al afectar a Graphapi 0.2.0 a 0.3.0, el problema surge de la
dependencia de la aplicación de una biblioteca de terceros que expone los
detalles del entorno PHP a través de una URL, exponiendo las contraseñas de
administrador de ownCloud, las credenciales del servidor de correo y las
claves de licencia.
La solución recomendada es
eliminar el archivo
«owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php», desactivar la función «phpinfo» en los contenedores Docker y cambiar
secretos potencialmente expuestos como la contraseña de administrador de
ownCloud, el servidor de correo, credenciales de base de datos y claves de
acceso a Object-Store/S3.
«Es importante enfatizar que simplemente deshabilitar la aplicación
Graphapi no elimina la vulnerabilidad», advierte el boletín de seguridad.
«Además, phpinfo expone varios otros detalles de configuración
potencialmente sensibles que podrían ser explotados por un atacante para
recopilar información sobre el sistema. Por lo tanto, incluso si ownCloud no
se ejecuta en un entorno contenedorizado, esta vulnerabilidad debería seguir
siendo motivo de preocupación».
El segundo problema, con una puntuación CVSS v3 de 9,8, afecta a las versiones
10.6.0 a 10.13.0 de la biblioteca principal de ownCloud y es un
problema de omisión de autenticación. La falla hace posible que los atacantes accedan, modifiquen o eliminen
cualquier archivo sin autenticación si se conoce el nombre de usuario del
usuario y no han configurado una clave de firma (configuración
predeterminada).
La solución publicada es negar el uso de URL prefirmadas si no se configura
ninguna clave de firma para el propietario de los archivos.
La tercera falla, menos grave (puntuación CVSS v3: 9) es un
problema de omisión de validación de subdominio
que afecta a todas las versiones de la
biblioteca Oauth2 inferiores a 0.6.1. En la
aplicación Oauth2, un atacante puede ingresar una URL de
redireccionamiento especialmente diseñada que omite el código de validación,
permitiendo la redirección de devoluciones de llamada a un dominio controlado
por el atacante.
La mitigación recomendada es reforzar el código de validación en la aplicación
Oauth2. Una solución temporal compartida en el boletín es desactivar la
opción «Permitir subdominios».
Las tres fallas de seguridad descritas en los boletines impactan
significativamente la seguridad y la integridad del entorno ownCloud, lo que
podría provocar la exposición de información confidencial, robo de datos
sigiloso, ataques de phishing y más.
Debido a esto, es fundamental que los administradores de ownCloud apliquen
inmediatamente las correcciones recomendadas y realicen las actualizaciones
de la biblioteca lo antes posible para mitigar estos riesgos.
Fuente:
BC
Los comentarios están cerrados.