🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc đang tích cực khai thác lỗ hổng nghiêm trọng của ownCloud, vá ngay!

29/11/2023

Tin tặc đang khai thác một lỗ hổng nghiêm trọng trong ownCloud, có định danh CVE-2023-49103, có thể gây tiết lộ mật khẩu quản trị, thông tin xác thực máy chủ thư, và các khóa cấp phép (license key) trong các triển khai dạng container.

ownCloud là một giải pháp đồng bộ và chia sẻ file mã nguồn mở được sử dụng rộng rãi, được thiết kế để quản lý và chia sẻ dữ liệu thông qua một nền tảng tự lưu trữ.

Vào ngày 21 tháng 11, các nhà phát triển phần mềm đã phát hành thông báo bảo mật cho ba lỗ hổng có thể dẫn đến việc xâm phạm dữ liệu, kêu gọi các quản trị viên ownCloud áp dụng biện pháp giảm thiểu ngay lập tức.

Trong số ba lỗ hổng, CVE-2023-49103 có điểm nghiêm trọng (CVSS) tối đa 10.0/10 vì nó cho phép một kẻ tấn công từ xa thực thi phpinfo() thông qua ứng dụng 'graphapi' của ownCloud, dẫn đến tiết lộ các biến môi trường của máy chủ, bao gồm cả thông tin đăng nhập được lưu trong đó.

Tư vấn bảo mật của CVE-2023-49103 cho biết: "Trong các triển khai dạng container, các biến môi trường này có thể bao gồm dữ liệu nhạy cảm như mật khẩu quản trị ownCloud, thông tin xác thực máy chủ thư và khóa cấp phép".

Ngoài ra, nếu các dịch vụ khác trong cùng môi trường sử dụng các biến thể và cấu hình giống nhau, cùng một thông tin đăng nhập, thông tin bị lộ có thể được sử dụng để truy cập những dịch vụ đó, mở rộng thêm rủi ro về việc xâm phạm.

Hơn nữa, việc lạm dụng CVE-2023-49103 để thực hiện các cuộc tấn công đánh cắp dữ liệu không yêu cầu kỹ thuật phức tạp, và nhiều đối tượng đã và đang khai thác lỗ hổng này trong các cuộc tấn công.

Công ty theo dõi mối đe dọa Greynoise báo cáo rằng họ đã quan sát thấy cuộc tấn công đại trà khai thác lỗ hổng trong thực tế từ ngày 25 tháng 11, 2023, và đang có xu hướng tăng. Greynoise cũng đã phát hiện 12 địa chỉ IP khác nhau khai thác CVE-2023-49103.

Báo cáo tương tự từ Shadowserver cảnh báo rằng họ đã phát hiện hơn 11,000 trường hợp máy chủ dễ bị tấn công công khai trên internet, với đa số nằm ở Đức, Mỹ, Pháp và Nga.

Do tình trạng khai thác lỗ hổng tăng cao, quản trị viên ownCloud được khuyến nghị thực hiện biện pháp đối phó ngay lập tức để giảm thiểu rủi ro.

Biện pháp được đề xuất là xóa tệp 'owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php', tắt chức năng 'phpinfo' trong các container Docker và thay đổi các thông tin đăng nhập có thể bị lộ như mật khẩu quản trị ownCloud, máy chủ thư, thông tin xác thực cơ sở dữ liệu, và các khóa truy cập (access key) Object-Store/S3.

Lưu ý rằng việc tắt ứng dụng graphapi không giảm thiểu rủi ro, đối với cả môi trường container và non-container.

Nguồn: bleepingcomputer.com.

scrolltop