Una vulnerabilidad crítica ownCloud está siendo explotada masivamente

Rubén Castro, 30 noviembre 2023

No te piertas el día del deporte en AliExpress. Hay un montón de artículos con hasta el 50% de descuento!!!

Ver mejores ofertas

La semana pasada, ownCloud hizo pública una vulnerabilidad crítica en la aplicación “graphapi”. El fallo de seguridad está siendo rastreado (CVE-2023-49103) con el máximo nivel de riesgo en la escala CVE. Una semana después, los investigadores de seguridad han empezado a ser testigos de lo que podría ser una explotación “masiva” de este fallo extremadamente peligroso.

OwnCloud es un software de código abierto diseñado para compartir y sincronizar archivos en entornos empresariales distribuidos y federados. La herramienta proporciona servicios de colaboración y compartición de documentos.

Según el aviso oficial de ownCloud, el problema CVE-2023-49103 proviene de una biblioteca de terceros utilizada por la aplicación graphapi (GetPhpInfo.php). La biblioteca proporciona una URL que, cuando se accede a ella, revela los detalles de configuración del entorno PHP. La información proporcionada también incluye todas las variables de entorno del servidor web.


El problema surge sobre todo en las implementaciones de ownCloud en contenedores, donde las variables de entorno reveladas por getphpinfo.php “pueden incluir” datos sensibles como contraseñas de administrador, credenciales de servidor y claves de licencia. El simple hecho de desactivar la aplicación graphapi no elimina la vulnerabilidad, ya que la biblioteca defectuosa sigue proporcionando la URL de revelación de secretos, según ownCloud.

Además de revelar secretos del servidor, la biblioteca phpinfo vulnerable puede exponer otros detalles de configuración potencialmente sensibles que un atacante podría explotar para obtener más información sobre el sistema. Incluso si ownCloud no se ejecuta en un entorno de contenedores, advierte el aviso, los administradores del servidor deben preocuparse por los posibles resultados de la vulnerabilidad.

Según la empresa de seguridad GreyNoise, el fallo CVE-2023-49103 está siendo explotado activamente por ciberdelincuentes que buscan contraseñas, credenciales de servidores de correo y claves de licencia.

Mientras que la compañía está trabajando en “varios endurecimientos” en futuras versiones del núcleo para evitar vulnerabilidades similares, ownCloud aconsejó a los usuarios eliminar la biblioteca defectuosa GetPhpInfo.php de sus servidores. Además, la función phpinfo fue deshabilitada en los contenedores que la compañía alemana proporciona directamente a sus clientes empresariales.

Otros consejos proporcionados por ownCloud incluyen un restablecimiento global de las contraseñas, credenciales y claves de acceso del servidor. Además de CVE-2023-49103, GreyNoise señala que ownCloud ha revelado recientemente otras vulnerabilidades críticas. Los fallos incluyen un problema de omisión de autenticación con una puntuación CVE de 9,8 (CVE-2023-49105) y un fallo muy peligroso relacionado con la aplicación oauth2 (CVE-2023-49104).

Rubén Castro

Redactor

Apasionado de explorar y diseccionar lo último en tecnología. Tengo mucha experiencia en el mundo de los ordenadores y el gaming, aunque también me gustan todos los tipos de gadgets.

Consentimiento