Detección de CVE-2023-49103: Una Vulnerabilidad Crítica en la Aplicación Graph API de OwnCloud Aprovechada para Ataques Activos
Tabla de contenidos:
Siguiendo de cerca la vulnerabilidad de día cero de Zimbra, surge otra grave falla de seguridad que afecta a software popular. El software de intercambio de archivos de código abierto ownCloud ha revelado recientemente un trío de preocupantes agujeros de seguridad en sus productos. Entre ellos, la vulnerabilidad de máxima severidad rastreada como CVE-2023-49103 obtuvo una puntuación CVSS de 10 debido a la facilidad de su explotación, permitiendo a los adversarios acceder a detalles de inicio de sesión de usuarios y recopilar datos sensibles. La explotación masiva de CVE-2023-49103 en intrusiones del mundo real requiere ultra-responsividad de los defensores para ayudar a las organizaciones a responder rápidamente a la amenaza.
Detectar Intentos de Explotación de CVE-2023-49103
Las vulnerabilidades críticas en productos de software de código abierto plantean una amenaza significativa para los defensores cibernéticos debido a la geografía amplia de posibles víctimas y la alta posibilidad de explotación masiva en la naturaleza. Para actuar más rápido que los actores de amenazas y defender de manera proactiva, los profesionales de seguridad requieren una fuente confiable de contenido de detección y herramientas avanzadas de detección de amenazas. Para identificar posibles ataques que aprovechen las explotaciones de CVE-2023-49103, la Plataforma SOC Prime ofrece una regla de detección curada por nuestro atento desarrollador de Threat Bounty Wirapong Petshagun.
Esta regla Sigma detecta un posible intento de explotación dirigido a la aplicación Graph API de ownCloud por el error (CVE-2023-49103). La detección está mapeada a MITRE ATT&CK® abordando la táctica de Acceso Inicial con la técnica de Explotación de Aplicación de Cara al Público (T1190). Convierte automáticamente el código de detección a docenas de soluciones SIEM, EDR, XDR y Data Lake, y explora CTI relevante para investigación de amenazas optimizada.
Para ver la lista completa de reglas de detección que abordan la explotación de vulnerabilidades emergentes y críticas, pulsa el botón Explorar Detecciones a continuación. Todas las reglas van acompañadas de metadatos detallados, incluidos enlaces CTI, mapeo ATT&CK, recomendaciones de triaje y más.
¿Entusiasmado por unirse a la defensa cibernética colectiva y obtener beneficios financieros por su contribución? Regístrese en el programa SOC Prime Threat Bounty para los defensores cibernéticos, contribuya con sus propias reglas de detección, codifique su futuro CV, realice networking con expertos de la industria y reciba pagos por su aporte.
Análisis de CVE-2023-49103
Una vulnerabilidad crítica en ownCloud, una herramienta empresarial ampliamente usada para la sincronización y compartición de archivos de nivel empresarial, identificada como CVE-2023-49103 está siendo masivamente aprovechada por los piratas informáticos en ataques continuos. Los intentos de explotación exitosos permiten a los atacantes robar información sensible, como credenciales de administrador y servidor de correo, o claves de licencia, exponiendo a organizaciones globales a riesgos de brechas de datos.
OwnCloud recientemente emitió un aviso público, revelando una vulnerabilidad de máxima gravedad calificada con un puntaje máximo de CVSS de 10. CVE-2023-49103 impacta a las versiones de la aplicación Graph API de OwnCloud 0.2.0 a 0.3.0. La dependencia de la aplicación en una biblioteca externa ofrece a los atacantes luz verde para manipular la URL proporcionada por la API.
El equipo de GreyNoise proporcionó una investigación en profundidad sobre los detalles de la explotación de CVE-2023-49103 basada en los ataques observados en la naturaleza que arman la falla en la tercera década de noviembre.
Además de CVE-2023-49103, OwnCloud también reportó otras dos fallas de seguridad críticas en su software: CVE-2023-49105, un bypass de autenticación en la API WebDAV con un puntaje CVSS de 9.8, y CVE-2023-49104, una vulnerabilidad de bypass de validación de subdominio con una calificación CVSS menor de 8.7.
OwnCloud enfatiza que simplemente eliminar la aplicación Graph API no puede resolver todos los problemas. Como medidas de mitigación recomendadas para CVE-2023-49103, los defensores sugieren eliminar el archivo “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, desactivar la función “phpinfo” en los contenedores Docker, y actualizar completamente las credenciales potencialmente comprometidas. Se recomienda encarecidamente a los administradores de ownCloud aplicar instantáneamente las correcciones sugeridas y las actualizaciones de bibliotecas para remediar los riesgos.
Las tres vulnerabilidades mencionadas anteriormente pueden potencialmente exponer a las organizaciones a brechas de datos y ataques de phishing mientras plantean amenazas a la integridad del sistema.
El aumento en el volumen de vulnerabilidades divulgadas que afectan a productos de software populares anima a las organizaciones a fortalecer continuamente sus capacidades de defensa cibernética. Confíe en el Mercado de Detección de Amenazas para acceder a los últimos algoritmos de detección contra CVEs, días cero y amenazas emergentes de cualquier escala e implementar sin problemas una estrategia de ciberseguridad proactiva en los procedimientos de su organización.
