Cette vulnérabilité critique dans ownCloud peut exposer le mot de passe administrateur !
Si vous utilisez la solution ownCloud pour héberger et partager des données, sachez qu'elle est affectée par trois failles de sécurité critiques, dont l'une qui peut permettre à un attaquant de récupérer le mot de passe du compte admin. Faisons le point.
Pour rappel, ownCloud est une solution open source permettant de mettre en place son propre serveur de stockage, de partage et de synchronisation de fichiers. Autrement dit, c'est comme un Dropbox ou un OneDrive mais hébergé sur votre propre serveur. De ce fait, la solution ownCloud est utilisée par des particuliers, mais également des entreprises, avec plus de 200 000 installations dans le monde entier.
Sommaire
Faille de sécurité critique - CVE-2023-49103
Commençons par nous intéresser à la faille de sécurité CVE-2023-49103, qui est une vulnérabilité critique comme le montre son score CVSS v3 de 10 sur 10 ! Elle se situe dans la bibliothèque tierce "graphapi" utilisée par ownCloud, et en l'exploitant, un pirate informatique peut récupérer des informations au sujet de la configuration de votre serveur. Ceci peut aller jusqu'à la récupération du mot de passe administrateur et des identifiants au serveur de messagerie configurés dans ownCloud.
À ce sujet, voici ce que précise le bulletin de sécurité ownCloud : "Dans les déploiements conteneurisés, ces variables d'environnement peuvent inclure des données sensibles telles que le mot de passe administrateur d'ownCloud, les informations d'identification du serveur de messagerie et la clé de licence. Il est important de souligner que la simple désactivation de l'application graphapi n'élimine pas la vulnérabilité."
Vous l'aurez compris, cette vulnérabilité peut être lourde de conséquences sur les instances d'ownCloud exécutées au sein d'un container Docker. Tout en sachant que "les conteneurs Docker datant d'avant février 2023 ne sont pas vulnérables à la divulgation des informations d'identification."
Pour se protéger, ownCloud recommande de supprimer le fichier "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php". Par ailleurs, ownCloud va désactiver la fonction PhpInfo dans ses images de containers Docker.
Les deux failles de sécurité critiques
ownCloud a également publiés des bulletins de sécurité pour deux autres failles de sécurité critiques.
Tout d'abord, il y a une vulnérabilité qui affecte les versions 10.6.0 à 10.13.0 d'ownCloud. Elle permet à un attaquant d'accéder, de modifier ou de supprimer n'importe quel fichier sans authentification au préalable à condition que le nom d'utilisateur soit connu par l'application et qu'il n'a pas configuré de clé de signature (c'est le cas par défaut) - Voir cette page.
Ensuite, nous avons une vulnérabilité qui se situe dans la bibliothèque "oauth2" utilisée par ownCloud. Toutes les versions de "oauth2" avant la 0.6.1 sont vulnérables à cette faille de sécurité. En l'exploitant, un attaquant peut détourner le processus oauth2 afin de rediriger la victime vers un domaine qu'il contrôle, comme c'est précisé sur cette page.
Comment se protéger ?
Pour vous protéger, il est recommandé de mettre à jour votre instance ownCloud, d'appliquer les actions décrites dans les différents bulletins de sécurité et de mettre à jour les bibliothèques affectées, notamment les apps installées sur votre instance.
La solution ownCloud est proche d'une autre solution : Nextcloud, mais il s'agit bien de deux solutions distinctes. Bien qu'il y ait des vulnérabilités corrigées dans Nextcloud il y a quelques jours, il ne semble pas affecté par celles-ci.
