CVE-2023-49103 Erkennung: Eine kritische Schwachstelle in der Graph API-App von OwnCloud, die für In-the-Wild-Angriffe genutzt wird
Inhaltsverzeichnis:
Unmittelbar nach der Zimbra Zero-Day Schwachstelle, tritt ein weiterer kritischer Sicherheitsfehler in populärer Software in den Vordergrund. Die Open-Source-Dateifreigabesoftware ownCloud hat kürzlich eine Reihe besorgniserregender Sicherheitslücken in ihren Produkten offengelegt. Darunter erlangte die Schwachstelle von maximaler Schwere, verfolgt als CVE-2023-49103, aufgrund der einfachen Ausnutzbarkeit, die es Angreifern ermöglicht, Zugriff auf Benutzeranmeldedaten zu erlangen und sensible Daten zu sammeln, den CVSS-Wert 10. Die massenhafte Ausnutzung von CVE-2023-49103 bei realen Einbrüchen erfordert von Verteidigern extrem schnelle Reaktionen, um Organisationen zu helfen, rasch auf die Bedrohung zu reagieren.
Erkennung von Ausnutzungsversuchen der CVE-2023-49103
Kritische Schwachstellen in Open-Source-Softwareprodukten stellen eine erhebliche Gefahr für Cyberverteidiger dar, da die breite geografische Verteilung potenzieller Opfer und die hohe Wahrscheinlichkeit der massenhaften Ausnutzung in der Wildnis besteht. Um schneller als Bedrohungsakteure zu reagieren und proaktiv zu verteidigen, benötigen Sicherheitsexperten eine verlässliche Quelle für Erkennungsinhalte und fortschrittliche Bedrohungserkennungstools. Zur Identifizierung möglicher Angriffe mit Ausnutzung von CVE-2023-49103 bietet die SOC Prime Plattform eine kuratierte Erkennungsregel unseres engagierten Threat Bounty Entwicklers Wirapong Petshagun.
Diese Sigma-Regel erkennt einen potenziellen Ausnutzungsversuch, der auf die Graph API App von ownCloud Bug (CVE-2023-49103) abzielt. Die Erkennung ist zugeordnet zu MITRE ATT&CK® adressierend die Taktik des initialen Zugangs mit der Technik Öffentliche Anwendung ausnutzen (T1190). Konvertieren Sie den Erkennungscode automatisch in Dutzende von SIEM-, EDR-, XDR- und Data Lake-Lösungen und erkunden Sie relevante CTI für eine optimierte Bedrohungsforschung.
Um die vollständige Liste der Erkennungsregeln einzusehen, die sich mit der Ausnutzung aufkommender und kritischer Schwachstellen befassen, drücken Sie den Erkennungen erkunden Button unten. Allen Regeln sind ausführliche Metadaten beigefügt, einschließlich CTI-Links, ATT&CK-Zuordnungen, Triagempfehlungen und mehr.
Möchten Sie sich der kollektiven Cyberabwehr anschließen und finanzielle Vorteile für Ihren Beitrag erhalten? Registrieren Sie sich beim SOC Prime Threat Bounty Programm für Cyberverteidiger, tragen Sie Ihre eigenen Erkennungsregeln bei, gestalten Sie Ihren zukünftigen Lebenslauf, vernetzen Sie sich mit Branchenexperten und erhalten Sie Auszahlungen für Ihren Input.
Analyse von CVE-2023-49103
Eine kritische Schwachstelle in ownCloud, einem weit verbreiteten Geschäftstool für die unternehmensgerechte Dateisynchronisierung und -freigabe, identifiziert als CVE-2023-49103 , wird von Hackern in laufenden Angriffen massiv ausgenutzt. Erfolgreiche Ausnutzungsversuche ermöglichen es Angreifern, sensible Informationen wie Admin- und Mailserver-Anmeldedaten oder Lizenzschlüssel zu stehlen, wodurch globale Organisationen dem Risiko von Datenverletzungen ausgesetzt werden.
OwnCloud hat kürzlich eine öffentliche Bekanntmachung veröffentlicht, die eine maximal schwere Schwachstelle mit einem Spitzen-CVSS-Wert von 10 offenbart. CVE-2023-49103 betrifft die Graph API-App von ownCloud, Versionen 0.2.0 bis 0.3.0. Die Abhängigkeit der App von einer externen Bibliothek gibt Angreifern grünes Licht, die von der API bereitgestellte URL zu manipulieren.
Das GreyNoise-Team hat eingehende Recherchen bereitgestellt über die Ausnutzungsdetails der CVE-2023-49103 basierend auf den beobachteten Angriffen in der Wildnis, die die Schwachstelle in der dritten Novemberdekade einsetzen.
Neben CVE-2023-49103 meldete ownCloud auch zwei andere kritische Sicherheitslücken in seiner Software — CVE-2023-49105, eine Authentifizierungsumgehung in der WebDAV-API mit einem CVSS-Wert von 9.8, und CVE-2023-49104, eine Subdomain-Validierungsumgehung, die eine niedrigere CVSS-Bewertung von 8.7 erhält.
OwnCloud betont, dass das bloße Entfernen der Graph API-App nicht alle Probleme lösen kann. Als empfohlene CVE-2023-49103-Minderungsmaßnahmen schlagen Verteidiger vor, die Datei “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” zu entfernen, die “phpinfo”-Funktion in Docker-Containern zu deaktivieren und potenziell kompromittierte Anmeldedaten vollständig zu aktualisieren. Den ownCloud-Administratoren wird dringend empfohlen, sofort die vorgeschlagenen Korrekturen und Bibliotheksaktualisierungen anzuwenden, um die Risiken zu mindern.
Alle drei oben genannten Schwachstellen können potenziell Organisationen Datenverletzungen und Phishing-Angriffen aussetzen und Bedrohungen für die Systemintegrität darstellen.
Die zunehmende Anzahl von dokumentierten Schwachstellen, die beliebte Softwareprodukte beeinflussen, ermutigt Organisationen, ihre Fähigkeiten zur Cyberabwehr kontinuierlich zu stärken. Vertrauen Sie auf den Threat Detection Marketplace , um die neuesten Erkennungsalgorithmen gegen CVEs, Zero-Days und Bedrohungen jeder Größenordnung zu erreichen und die proaktive Cybersicherheitsstrategie nahtlos in die Verfahren Ihrer Organisation zu integrieren.
