Rilevamento CVE-2023-49103: Una Vulnerabilità Critica nell’App Graph API di OwnCloud Sfruttata per Attacchi In-the-Wild
Indice:
Sulla scia della vulnerabilità zero-day di Zimbra, un altro grave difetto di sicurezza che colpisce software popolari si affaccia sulla scena. Il software open-source di condivisione file ownCloud ha recentemente rivelato un trio di inquietanti falle di sicurezza nei suoi prodotti. Tra queste, la vulnerabilità con la gravità massima tracciata come CVE-2023-49103 ha ottenuto un punteggio CVSS di 10 a causa della facilità della sua sfruttabilità, consentendo agli avversari di accedere ai dati di accesso degli utenti e raccogliere dati sensibili. La massiccia exploitazione di CVE-2023-49103 in intrusione reali richiede un’ultra-responsività dai difensori per aiutare le organizzazioni a rispondere prontamente alla minaccia.
Rileva i Tentativi di Sfruttamento del CVE-2023-49103
Le vulnerabilità critiche nei prodotti software open-source rappresentano una minaccia significativa per i difensori informatici a causa dell’ampia geografia delle potenziali vittime e dell’elevata possibilità di sfruttamento massiccio sul campo. Per agire più velocemente degli attori delle minacce e difendersi proattivamente, i professionisti della sicurezza necessitano di una fonte affidabile di contenuti di rilevamento e di strumenti avanzati di rilevamento delle minacce. Per identificare possibili attacchi che sfruttano gli exploit del CVE-2023-49103, la piattaforma SOC Prime offre una regola di rilevamento curata dal nostro esperto sviluppatore di Threat Bounty Wirapong Petshagun.
Questa regola Sigma rileva un potenziale tentativo di sfruttamento mirato all’App Graph API del bug di ownCloud (CVE-2023-49103). Il rilevamento è mappato a MITRE ATT&CK® affrontando la tattica di Accesso Iniziale con la tecnica di Sfruttare un’Applicazione Pubblica (T1190). Converte automaticamente il codice di rilevamento in decine di soluzioni SIEM, EDR, XDR e Data Lake ed esplora le CTI rilevanti per una ricerca sulle minacce ottimizzata.
Per visualizzare l’elenco completo delle regole di rilevamento che affrontano lo sfruttamento delle vulnerabilità emergenti e critiche, premi il Pulsante Esplora Rilevamenti qui sotto. Tutte le regole sono accompagnate da metadati dettagliati, compresi collegamenti CTI, mappatura ATT&CK, raccomandazioni per la triage e altro ancora.
Entusiasta di unirsi alla difesa informatica collettiva e ottenere benefici finanziari per il tuo contributo? Registrati al programma SOC Prime Threat Bounty per i difensori informatici, contribuisci con le tue regole di rilevamento, programma il tuo futuro CV, fai rete con esperti del settore e ricevi pagamenti per il tuo contributo.
Analisi del CVE-2023-49103
Una vulnerabilità critica in ownCloud, uno strumento aziendale ampiamente utilizzato per la sincronizzazione e condivisione di file di livello enterprise, identificata come CVE-2023-49103 viene massicciamente sfruttata dagli hacker in attacchi in corso. I tentativi di sfruttamento riusciti consentono agli aggressori di rubare informazioni sensibili, come credenziali di amministratore e server di posta, o chiavi di licenza, esponendo le organizzazioni globali a rischi di violazione dei dati.
OwnCloud ha recentemente emesso un avviso pubblico, rivelando una vulnerabilità estremamente grave con un punteggio CVSS massimo di 10. CVE-2023-49103 impatta sulle versioni dell’app Graph API di OwnCloud dalla 0.2.0 alla 0.3.0. La dipendenza dell’app da una libreria esterna consente agli aggressori di manipolare l’URL fornito dall’API.
Il team GreyNoise ha fornito una ricerca approfondita sui dettagli dell’exploit CVE-2023-49103 basata sugli attacchi observed sul campo che armano il difetto nella terza decade di novembre.
Oltre al CVE-2023-49103, OwnCloud ha anche segnalato altre due gravi falle di sicurezza nel suo software — CVE-2023-49105, un bypass di autenticazione nell’API WebDAV con un punteggio CVSS di 9.8, e CVE-2023-49104, una vulnerabilità di bypass della validazione del sottodominio con una valutazione CVSS inferiore di 8.7.
OwnCloud sottolinea che semplicemente rimuovere l’app Graph API non può risolvere tutti i problemi. Come misure di mitigazione raccomandate per il CVE-2023-49103, i difensori suggeriscono di rimuovere il file “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, disattivare la funzione “phpinfo” nei contenitori Docker e aggiornare completamente le credenziali potenzialmente compromesse. È fortemente raccomandato che gli amministratori di ownCloud applichino immediatamente le correzioni e gli aggiornamenti delle librerie suggeriti per mitigare i rischi.
Tutte e tre le vulnerabilità sopra menzionate possono potenzialmente esporre le organizzazioni a violazioni di dati e attacchi di phishing, oltre a rappresentare minacce per l’integrità del sistema.
L’aumento delle quantità di vulnerabilità divulgate che impattano sui prodotti software popolari incoraggia le organizzazioni a rafforzare continuamente le loro capacità di difesa informatica. Fai affidamento sul Threat Detection Marketplace per raggiungere gli ultimi algoritmi di rilevamento contro CVE, zero-days e minacce emergenti di qualsiasi scala e implementare senza soluzione di continuità la strategia di cybersecurity proattiva nelle procedure della tua organizzazione.
