Détection CVE-2023-49103 : Une vulnérabilité critique dans l’application Graph API d’OwnCloud exploitée pour des attaques dans la nature
Table des matières :
Juste après la découverte de la vulnérabilité zero-day Zimbra, une autre faille de sécurité critique affectant un logiciel populaire fait son apparition. Le logiciel de partage de fichiers open-source ownCloud a récemment révélé un trio de failles de sécurité préoccupantes dans ses produits. Parmi elles, la vulnérabilité d’une sévérité maximale suivie sous le nom CVE-2023-49103 a obtenu le score CVSS de 10 en raison de la facilité de son exploitation, permettant aux adversaires d’accéder aux identifiants de connexion des utilisateurs et de collecter des données sensibles. L’exploitation massive du CVE-2023-49103 dans des intrusions réelles nécessite une ultra-réactivité de la part des défenseurs pour aider les organisations à répondre rapidement à la menace.
Détecter les tentatives d’exploitation du CVE-2023-49103
Les vulnérabilités critiques dans les produits logiciels open-source posent une menace importante pour les défenseurs du cyberespace en raison de l’étendue géographique des victimes potentielles et de la forte possibilité d’exploitation massive dans la nature. Pour agir plus rapidement que les acteurs de la menace et se défendre de manière proactive, les professionnels de la sécurité nécessitent une source fiable de contenu de détection et des outils avancés de détection de menaces. Pour identifier les attaques possibles exploitant le CVE-2023-49103, la plateforme SOC Prime propose une règle de détection organisée par notre développeur avisé de Threat Bounty Wirapong Petshagun.
Cette règle Sigma détecte une tentative d’exploitation potentielle ciblant l’application Graph API d’ownCloud bug (CVE-2023-49103). La détection est mappée à MITRE ATT&CK® abordant la tactique d’accès initial avec la technique Exploit Public-Facing Application (T1190). Convertissez automatiquement le code de détection en des dizaines de solutions SIEM, EDR, XDR et Data Lake et explorez le CTI pertinent pour une recherche de menace simplifiée.
Pour voir la liste complète des règles de détection traitant l’exploitation des vulnérabilités émergentes et critiques, cliquez sur le bouton Explore Detections ci-dessous. Toutes les règles sont accompagnées de métadonnées détaillées, y compris les liens CTI, le mappage ATT&CK, les recommandations de triage, et plus encore.
Envie de rejoindre la défense cybernétique collective et d’obtenir des avantages financiers pour votre contribution? Inscrivez-vous au programme SOC Prime Threat Bounty pour les défenseurs du cyberespace, contribuez à vos propres règles de détection, codez votre CV futur, réseauter avec des experts de l’industrie, et recevez des paiements pour votre contribution.
Analyse de CVE-2023-49103
Une vulnérabilité critique dans ownCloud, un outil professionnel largement utilisé pour la synchronisation et le partage de fichiers à l’échelle de l’entreprise, identifiée comme CVE-2023-49103 est massivement exploitée par des pirates dans des attaques en cours. Les tentatives d’exploitation réussies permettent aux attaquants de voler des informations sensibles, telles que les identifiants d’administrateurs et de serveurs de messagerie, ou des clés de licence, exposant ainsi les organisations mondiales à des risques de violation de données.
OwnCloud a récemment publié un avertissement public, révélant une vulnérabilité extrêmement sévère notée avec un score CVSS maximal de 10. CVE-2023-49103 affecte les versions 0.2.0 à 0.3.0 de l’application Graph API d’OwnCloud. La dépendance de l’application à une bibliothèque externe donne aux attaquants le feu vert pour manipuler l’URL fournie par l’API.
L’équipe GreyNoise a fourni une recherche approfondie sur les détails de l’exploitation du CVE-2023-49103 basé sur les attaques observées dans la nature utilisant la faille dans la troisième décennie de novembre.
Outre le CVE-2023-49103, OwnCloud a également signalé deux autres failles de sécurité critiques dans son logiciel — CVE-2023-49105, un contournement d’authentification dans l’API WebDAV avec un score CVSS de 9,8, et CVE-2023-49104, une vulnérabilité de contournement de validation de sous-domaine obtenant une note CVSS inférieure de 8,7.
OwnCloud souligne que supprimer simplement l’application Graph API ne peut pas résoudre tous les problèmes. Comme mesures de mitigation recommandées pour le CVE-2023-49103, les défenseurs suggèrent de supprimer le fichier “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, désactiver la fonction “phpinfo” dans les conteneurs Docker, et mettre à jour complètement les identifiants potentiellement compromis. Il est fortement recommandé aux administrateurs ownCloud d’appliquer instantanément les correctifs et mises à jour de bibliothèque suggérés pour remédier aux risques.
Les trois vulnérabilités mentionnées ci-dessus peuvent potentiellement exposer les organisations à des fuites de données et des attaques de phishing tout en menaçant l’intégrité du système.
Les volumes croissants de vulnérabilités divulguées impactant les produits logiciels populaires encouragent les organisations à renforcer continuellement leurs capacités de défense cybernétique. Comptez sur le Threat Detection Marketplace pour accéder aux derniers algorithmes de détection contre les CVEs, les zero-days, et les menaces émergentes de toute envergure et implémenter sans effort la stratégie proactive de cybersécurité dans les procédures de votre organisation.
