Kwetsbaarheid ownCloud geeft toegang tot adminwachtwoord

Een kwetsbaarheid in de opslagsoftware ownCloud geeft aanvallers de mogelijkheid om adminwachtwoorden buit te maken en inmiddels zijn er aanvallen in het wild gezien. Nextcloud is niet getroffen door de kwetsbaarheid.

OwnCloud postte vorige week al over de kwetsbaarheid en beveiligingsbedrijf Greynoise zegt dat er in het wild exploits zijn gezien die de kwetsbaarheid misbruiken. Die aanvallen lijken weinig kans te maken, want volgens beveiligingsonderzoeker Will Dormann zegt dat de exploit een URI probeert te gebruiken die niet bestaat en sowieso alleen zou werken op systemen die in een container draaien.

De kwetsbaarheid werkt door het kunnen opvragen van plaintext-gegevens via een phpinfo-functie in de 'graphapi'. OwnCloud adviseert gebruikers om sowieso wachtwoorden en andere privégegevens te veranderen. De phpinfo-functie staat bovendien uit. Nextcloud, dat gelieerd is aan ownCloud, zegt van deze kwetsbaarheid geen last te hebben.

OwnCloud 2.0
OwnCloud 2.0

Door Arnoud Wokke

Redacteur Tweakers

29-11-2023 • 17:15

24

Submitter: wildhagen

Reacties (24)

24
24
12
2
0
2
Wijzig sortering
Wat ik mis in het nieuwsbericht en in de originele berichtgeving van ownCloud: is deze kwetsbaarheid enkel authenticated (als normale gebruiker iingelogd) of ook unauthenticated (als anonieme bezoeker) te misbruiken?

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:13]

Bor Coördinator Frontpage Admins / FP Powermod @The Zep Man29 november 2023 18:02
Als je de bron leest staat het er gewoon

CVSS v3 Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE ID: CWE-200
CWE Name: Exposure of Sensitive Information to an Unauthorized Actor

Uitleg:

Privileges required: none

The attacker is unauthorized prior to attack, and therefore does not require any access to settings or files to carry out an attack.

[Reactie gewijzigd door Bor op 23 juli 2024 12:13]

Als je owncloud in een container draait kun je admin password mee geven als variabele die in environment land.

phpinfo(); print standaard die variabelen ook.

Nu is die functie standaard uitgeschakeld in de container, dus het lijkt meer hypothetisch dan wat anders.

Uit een Owncloud container:

root@aa02c627c155:/etc/php# grep -inr phpinfo .
./7.4/mods-available/owncloud-apache.ini:1:disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,pcntl_unshare,system,phpinfo,show_source,fopen_with_path,dbmopen,dbase_open,filepro_retrieve,posix_mkfifo
Als je owncloud in een container draait kun je admin password mee geven als variabele die in environment land.

phpinfo(); print standaard die variabelen ook.

Nu is die functie standaard uitgeschakeld in de container, dus het lijkt meer hypothetisch dan wat anders.
Dat is wel interessant eigenlijk want dit zou voor veel meer containers gelden, eigenlijk elke die een wachtwoord zo verwerkt.
Maar zomaar phpinfo() opvragen lukt lijkt mij niet zonder dat er een script draait al in de container die dat toont.
In het bericht staat dat het de hoogste CVSS score (10) heeft. Dat lijkt dan te gaan om containerized deployments. Omdat er verder geen beperkingen zijn genoemd kun je er dus maar beter vanuit gaan dat een standaard installatie die daaraan voldoet dus gevoelige admin gegevens zal lekken.

Dat lijkt me in ieder geval een verstandiger uitgangspunt dan hopen dat een crimineel de juiste URL niet weet te vinden, of dat de URL hopelijk niets lekt.
Oef, en zie nu al die thuisgebruikers maar eens snel geupgrade te krijgen ...
Dat is inderdaad een probleem, maar het is echt wel een ongeschreven regel dat je zelf verantwoordelijk bent voor self-hosted oplossingen. Ik zelf heb niet altijd automatische updates aan staan. Wel heb ik een subscription op OpenCVE voor mijn services, wat een erg handige service is om op de hoogte te blijven.
Dat is zelfs een geschreven regel, aangezien alle open source software een disclaimer bevat dat de schrijvers niet verantwoordelijk zijn voor het functioneren van de software voor welk doel dan ook.
Let op dat een geschreven regel nog steeds geen volledige bescherming biedt.

Een ontwikkelaar geeft een applicatie uit die bubbels op een tablet laat zien die de gebruiker kan kapot poppen door ze aan te raken. Zo is de applicatie ook omschreven, met de waarschuwing dat gebruik volledig op eigen risico is. Met een update pusht iemand onderhuids een extra functie die alle informatie van de gebruiker upload naar een website die verder niets met de ontwikkelaar te maken heeft. De ontwikkelaar wordt voor die extra functionaliteit juridisch echt niet beschermd door de waarschuwing waarmee de applicatie gedistribueerd wordt, ondanks dat het draaien van de applicatie volledig op risico was van de gebruiker.

Intentie is belangrijk. Nu is secure by design lastig, dus fouten maken in informatiebeveiliging kan. ;)

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:13]

Ik gebruik Filerun ipv Owncloud/Nextcloud, alles draait via Docker Compose en elke laatste zondagochtend van de maand worden alle containers verwijderd/purged, nieuwe images pulled en nieuwe containers gemaakt.

Door dat slechts maandelijks automatisch te doen, heb ik er 1) geen ommekijk naar 2) weinig last van kut updates die dingen slopen (dat gebeurd immers veel vaker dan een CVE en heeft als thuisgebruiker een blokkerend effect) 3) maandelijks in elk geval dit soort updates.

En als ik me verveel kan ik in 1 of 2 clicks makkelijk zelf een containertje updaten.

Dus juist voor een thuisgebruiker lijkt het mij niet zo een probleem. een IT administrator ziet dit misschien juist over het hoofd.
Waarom zou je überhaupt Owncloud en niet Nextcloud gebruiken
Waarom zou je überhaupt Owncloud en niet Nextcloud gebruiken
https://www.digitaleoverh...erpen/open-source/beleid/

dit bijvoorbeeld.

niet zo zeer bedoeld om je vraag te beantwoorden waarom iemand kiest voor de een of de ander maar meer voor het inzetten van opensource. ./excuses

[Reactie gewijzigd door oNNoZeLe op 23 juli 2024 12:13]

Owncloud is niet open-source, Nextcloud wel
En jouw link betreft alleen het vrijgeven van de broncode van overheidssoftware, daarmee sluit je alle bedrijven en homelabs mee uit
Owncloud is niet open-source,
Bron:
ownCloud is Open Source Software and is licensed under the Affero GNU Public License Version 3 (AGPLv3).
Nu zijn er twee soorten opensource projecten:
  • Projecten die onvriendelijk zijn richting de community (OpenOffice.org, MySQL, ownCloud, XenServer...). Vaak bevatten deze producten beperkingen als je die gratis selfhosted wilt draaien, of is het lastig om verbeteringen aan te bieden (kan niet, of onder een verstikkende licentie met veel moeite).
  • Projecten die vriendelijk zijn richting de community (LibreOffice, MariaDB, Nextcloud, XCP-ng...). Deze projecten herken je aan dat opensource code en enterprise code gelijk aan elkaar optrekken, waardoor met hetzelfde gemak alle functies onder een licentie door grote organisaties als gratis door individuen gebruikt kunnen worden. Beide soorten partijen kunnen ook verbeteringen voorstellen en voordragen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:13]

Ik heb geen ervaring met deze software, maar waarom zeg je dat deze onvriendelijk is naar de community toe? Omwille van de license?
ownCloud behandelt enterprisefunctionaliteit apart qua ontwikkelprioriteit. Ooit (en wellicht nog steeds) werden ook niet alle functies meegeleverd met de direct downloadbare versie. Ik geloof dat dit een aantal van de redenen waren waarom kernontwikkelaars vertrokken en Nextcloud op hebben gezet.

Ook heeft ownCloud een aparte contributor license. Dat wordt in de opensource wereld vaak gezien als iets beknellends. Nextcloud heeft dat niet.

Voor de andere genoemde voorbeelden zijn het zaken die ik genoemd heb: MySQL is Oracle en daar is genoeg over geschreven. OpenOfffice.org was het lastig voor ontwikkelen. XenServer is van Citrix, die steeds meer functies uit de communityversie sloopt in de hoop dat men gaat betalen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:13]

Die url werkt bij mij niet.
Voor een leuk stukje geschiedenis hierover zie: https://archive.fosdem.org/2018/schedule/event/nextcloud/

Hierin legt de oprichter van ownCloud/Nextcloud uit waar het in ownCloud mis is gegaan m.b.t. open source en wat hij daarvan geleerd heeft om dit bij Nextcloud beter te doen.
My bad, had niet goed gelezen wat er op https://nextcloud.com/compare/ staat :)
Die pagina geeft geen antwoord op de vraag "waarom owncloud gebruiken en geen nextcloud?", of mis ik iets?
Omdat je dat 5 jaar geleden geinstalleerd hebt op al je apparaten, en het nog prima werkt.
Blij dat ik al gemigreerd was naar Nextcloud.
Zijn er mensen die dit direct aan het internet hangen dan? I.p.v. via vpn beschikbaar stellen

[Reactie gewijzigd door Punkbuster op 23 juli 2024 12:13]

Wie gebruikt er überhaupt nog owncloud? Nextcloud is toch eigenlijk de echte Owncloud? Net zoals Librelec dat is voor openelec, en Libreoffice dat is voor OpenOffice.

Op dit item kan niet meer gereageerd worden.