Bei OwnCloud wurde eine kritische Sicherheitslücke entdeckt, die das unbefugte Auslesen sensibler Informationen ermöglicht. Diese Schwachstelle wurde als CVE-2023-49103 eingestuft und mit einer kritischen Schwere von 10.0 bewertet.

OwnCloud ist eine Server- und Kollaborationsplattform, die Benutzern das sichere Speichern, Teilen und Synchronisieren von Dateien ermöglicht.

Die Sicherheitslücke ermöglicht es einem Angreifer, auf sensible Informationen wie Administrationspasswörter, E-Mail-Server-Zugangsdaten und Lizenzschlüssel zuzugreifen, ohne dazu autorisiert zu sein.

Die Cybersicherheitsfirma GreyNoise beobachtete, dass Bedrohungsakteure diese Schwachstelle aktiv ausnutzen.

CVE-2023-49103: Offenlegung sensibler Informationen an Dritte Die Schwachstelle besteht in der „graphapi“-App von OwnCloud, die eine Drittanbieter-Bibliothek verwendet. Diese Bibliothek bietet eine URL, über die bei Zugriff Konfigurationsdetails der PHP-Umgebung über die Datei phpinfo offengelegt werden.

Die phpinfo-Datei enthält alle Umgebungsvariablen des Webservers, zu denen auch sensible Daten wie Administrationspasswörter, E-Mail-Server-Zugangsdaten oder Lizenzschlüssel gehören können, insbesondere bei containerisierten Bereitstellungen.

OwnCloud berichtete auch, dass „das Deaktivieren der ‚graphapi‘-App diese Schwachstelle nicht beseitigt.“ Die phpinfo-Datei offenbart zudem verschiedene andere sensible Konfigurationsinformationen, die ein Angreifer für Aufklärungszwecke nutzen könnte. Docker-Container vor Februar 2023 sind von dieser Schwachstelle jedoch nicht betroffen.

Betroffene Produkte und Maßnahmen zur Minderung Die „graphapi“-Versionen 0.2.0 – 0.3.0 sind von dieser Sicherheitslücke betroffen. Als Gegenmaßnahme werden folgende Schritte empfohlen:

  • Löschen der Datei owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
  • Deaktivieren der phpinfo-Funktion in Docker-Containern
  • Ändern des OwnCloud-Admin-Passworts
  • Ändern der E-Mail-Server-Zugangsdaten
  • Ändern der Datenbank-Zugangsdaten
  • Ändern der Zugangsschlüssel für Object-Store/S3

Benutzer von OwnCloud sollten vorsorgliche Maßnahmen ergreifen, um zu verhindern, dass sensible Informationen unbefugt an Bedrohungsakteure gelangen.