Scans zu kritischer SicherheitslĂĽcke in ownCloud-Plugin
Die Schwachstelle im GraphAPI-Plugin kann zur unfreiwilligen Preisgabe der Admin-Zugangsdaten fĂĽhren. ownCloud-Admins sollten schnell reagieren.
Das ownCloud-Projekt hatte in der vergangenen Woche mehrere Sicherheitslücken in der Open-Source-Kollaborationslösung behoben. Eines der Lecks verrät Angreifern die Admin-Zugangsdaten der ownCloud-Instanz, sofern diese in einer Docker-Umgebung läuft. Auch der Lizenzschlüssel, Mail-Server-Zugangsdaten und weitere sensible Informationen finden unbefugte Dritte in der offen zugänglichen phpInfo()-Datei, die Entwickler eines ownCloud-Plugins offenbar in ihrer Codebasis vergessen hatten.
Das GraphAPI-Plugin für ownCloud gehört zum Standard-Lieferumfang der offenen Plattform für die Zusammenarbeit in Teams. Das Plugin bietet eine Anbindung von ownCloud an Microsofts Graph API und greift hierfür auf eine von den Redmonder Entwicklern programmierte Bibliothek zurück, die über den PHP-Paketmanager Composer verfügbar ist. Diese Bibliothek enthält im Unterverzeichnis apps/graphapi/vendor/microsoft/microsoft-graph/tests/
verschiedene Unit-Tests, die versehentlich mit den Versionen 0.2.0 und 0.3.0 ausgeliefert wurden. Mit im Verzeichnis liegt auch eine Datei namens GetPhpInfo.php
, deren einziger Zweck die Ausgabe der phpinfo()
-Funktion ist. Diese in PHP fest eingebaute Funktion gibt Informationen ĂĽber die installierte PHP-Version, aber auch Module und Umgebungsvariablen des Webservers zurĂĽck und ist daher eine Fundgrube fĂĽr Angreifer.
phpinfo() verrät Zugangsdaten
Hat der Administrator ownCloud via Docker installiert, so befinden sich unter den ausgegebenen Umgebungsvariablen auch sensible Informationen, die Angreifern den Zugriff auf die betroffene Instanz ermöglichen können. So empfiehlt der Hersteller in seinen Installationsanweisungen für Docker, die Zugangsdaten für Datenbank, Mailserver und ownCloud selber als Umgebungsvariablen zu hinterlegen, eine häufig genutzte und unter normalen Umständen ungefährliche Praxis.
Finden Unbefugte jedoch eine phpinfo-Datei in einem derart per Docker installierten ownCloud-Server, können sie die geheimen Zugangsdaten auslesen und – sofern der Admin diese nicht direkt nach der Installation abgeändert hat – für den Login als ownCloud-Administratoren nutzen. Die Sicherheitslücke CVE-2023-49103 (CVSS 10/10) im GraphAPI-Plugin ist bereits seit September diesen Jahres behoben.
Sicherheitsforscher melden Scan-Aktivität
Offenbar hat in den letzten Tagen die automatisierte Scan-Aktivität zugenommen: Das ShadowServer-Projekt und die Security-Firma Greynoise beobachten automatisierte Abrufe der URL /owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
. So habe sich die Anzahl verdächtiger IP-Adressen seit dem 27. November auf über 20 erhöht, meldet Greynoise.
Wie der Sicherheitsforscher Will Dormann auf der Plattform X (ehemals Twitter) anmerkt, dürften derlei Aufrufe jedoch meist fehlschlagen – der Pfadbestandteil /owncloud/ fehle schlicht in den meisten per Docker installierten ownCloud-Instanzen.
Dennoch sollten Admins handeln und ihre ownCloud zunächst auf den neuesten Stand bringen. Die Versionen 0.2.1 und 0.3.1 des GraphAPI-Plugins beheben das Informationsleck. Zudem sollten Systemverwalter die Augen nach Angriffen auf ihre Server offenhalten. Das Internet Storm Center nennt einige verdächtige IP-Adressen, jeder Zugriff auf die offene phpinfo-Datei sollte jedoch Anlass zur Sorge geben. Wer derlei Zugriffe in den ownCloud-Logs feststellt, sollte nach dem Update auch alle relevanten Zugangsdaten ändern. So könnten die Datenbank-, Mailserver- und ownCloud-Passwörter, aber auch S3-Zugriffsschlüssel in die Hände von Angreifern gelangt sein.
Zusätzlich zum Informationsleck in CVE-2023-40190 hatten die Entwickler der Kollaborationslösung zwei weitere Sicherheitslücken behoben und Updates bereitgestellt.
(cku)