El software de código abierto para compartir archivos ownCloud advierte sobre tres vulnerabilidades de seguridad de gravedad crítica, incluida una que puede exponer las contraseñas de administrador y las credenciales del servidor de correo.
ownCloud es utilizado por empresas, institutos educativos, agencias gubernamentales y personas preocupadas por la privacidad que prefieren mantener el control sobre sus datos en lugar de alojarlos en proveedores de almacenamiento en la nube de terceros. El sitio de OwnCloud informa 200.000 instalaciones, 600 clientes empresariales y 200 millones de usuarios.
El software consta de múltiples bibliotecas y componentes que trabajan juntos para proporcionar una variedad de funcionalidades para la plataforma de almacenamiento en la nube.
Riesgos graves de violación de datos
El equipo de desarrollo detrás del proyecto emitió tres boletines de seguridad a principios de esta semana, advirtiendo sobre tres fallas diferentes en los componentes de ownCloud que podrían afectar gravemente su integridad.
La primera falla se rastrea como CVE-2023-49103 y recibió una puntuación CVSS v3 máxima de 10. La falla se puede usar para robar credenciales e información de configuración en implementaciones en contenedores, lo que afecta todas las variables de entorno del servidor web.
Al afectar a Graphapi 0.2.0 a 0.3.0, el problema surge de la dependencia de la aplicación de una biblioteca de terceros que expone los detalles del entorno PHP a través de una URL, exponiendo las contraseñas de administrador de ownCloud, las credenciales del servidor de correo y las claves de licencia.
La solución recomendada es eliminar el archivo "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php", desactivar la función "phpinfo" en los contenedores Docker y cambiar secretos potencialmente expuestos como la contraseña de administrador de ownCloud, el servidor de correo, credenciales de base de datos y claves de acceso a Object-Store/S3.
"Es importante enfatizar que simplemente deshabilitar la aplicación Graphapi no elimina la vulnerabilidad", advierte el boletín de seguridad.
"Además, phpinfo expone varios otros detalles de configuración potencialmente sensibles que podrían ser explotados por un atacante para recopilar información sobre el sistema. Por lo tanto, incluso si ownCloud no se ejecuta en un entorno contenedorizado, esta vulnerabilidad debería seguir siendo motivo de preocupación".
El segundo problema, con una puntuación CVSS v3 de 9,8, afecta a las versiones 10.6.0 a 10.13.0 de la biblioteca principal de ownCloud y es un problema de omisión de autenticación. La falla hace posible que los atacantes accedan, modifiquen o eliminen cualquier archivo sin autenticación si se conoce el nombre de usuario del usuario y no han configurado una clave de firma (configuración predeterminada).
La solución publicada es negar el uso de URL prefirmadas si no se configura ninguna clave de firma para el propietario de los archivos.
La tercera falla, menos grave (puntuación CVSS v3: 9) es un problema de omisión de validación de subdominio que afecta a todas las versiones de la biblioteca Oauth2 inferiores a 0.6.1. En la aplicación Oauth2, un atacante puede ingresar una URL de redireccionamiento especialmente diseñada que omite el código de validación, permitiendo la redirección de devoluciones de llamada a un dominio controlado por el atacante.
La mitigación recomendada es reforzar el código de validación en la aplicación Oauth2. Una solución temporal compartida en el boletín es desactivar la opción "Permitir subdominios".
Las tres fallas de seguridad descritas en los boletines impactan significativamente la seguridad y la integridad del entorno ownCloud, lo que podría provocar la exposición de información confidencial, robo de datos sigiloso, ataques de phishing y más.
Debido a esto, es fundamental que los administradores de ownCloud apliquen inmediatamente las correcciones recomendadas y realicen las actualizaciones de la biblioteca lo antes posible para mitigar estos riesgos.
Fuente: BC