CVE-2023-49103 Detection: A Critical Vulnerability in OwnCloud’s Graph API App Leveraged for in-the-Wild Attacks

の直後に Zimbra ゼロデイ脆弱性、人気ソフトウェアに影響を及ぼす別の重大なセキュリティ欠陥が現れました。オープンソースのファイル共有ソフトウェアである ownCloud は、自社製品における一連の深刻なセキュリティホールを最近公開しました。その中で、追跡されている最大の重大度の脆弱性 CVE-2023-49103 は、利用の容易さから CVSS スコア 10 を獲得し、対抗者がユーザーログイン情報にアクセスし、機密データを収集することを可能にします。CVE-2023-49103 の現実世界での大規模な侵入における大量の悪用は、脅威に迅速に対応するために防御者からの超迅速な対応が求められます。

CVE-2023-49103 悪用試行を検出する

オープンソースのソフトウェア製品における重要な脆弱性は、潜在的な被害者の地理的範囲の広さと、現実の環境での大規模な悪用の可能性の高さにより、サイバー防御者にとって重大な脅威となります。脅威アクターよりも迅速に行動し、積極的に防御するためには、セキュリティ専門家は信頼できる検出コンテンツソースと高度な脅威検出ツールが必要です。CVE-2023-49103 エクスプロイトを利用した可能性のある攻撃を識別するために、SOC プライムプラットフォームは、私たちの意欲的な Threat Bounty 開発者 Wirapong Petshagun.

ownCloud における Graphapi アプリの重大な脆弱性（CVE-2023-49103）悪用試行（Web サーバー経由）

このシグマルールは、ownCloud のバグ (CVE-2023-49103) の Graph API アプリを標的とした潜在的な悪用試行を検出します。検出は MITRE ATT&CK® にマップされ、Exploil Public-Facing Application (T1190) の技術を用いた初期アクセス戦術に対処します。検出コードを数十の SIEM、EDR、XDR、およびデータレイクソリューションに自動的に変換し、効率的な脅威調査のための関連 CTI を探ります。

新たな重大な脆弱性の悪用に対処する検出ルールの全リストを表示するには、以下の 検出の探索 ボタンをクリックしてください。すべてのルールには CTI リンク、ATT&CK マッピング、トリアージの推奨事項などの詳細なメタデータが添付されています。

検出の探索

共同サイバー防御に参加し、貢献に対する金銭的メリットを得ることに熱心ですか？ SOC プライムスレットバウンティ プログラムにサイバー防御者として登録し、独自の検出ルールを提供し、将来の CV をコード化し、業界の専門家とネットワークし、入力に対する支払いを受け取りましょう。

CVE-2023-49103 分析

エンタープライズ級のファイル同期と共有のための広く使用されているビジネスツールである ownCloud における重大な脆弱性として識別されました。 CVE-2023-49103 は、進行中の攻撃でハッカーによって大規模に利用されています。成功した悪用試行は、攻撃者が管理者やメールサーバーの認証情報、ライセンスキーなどの機密情報を盗むことを可能にし、世界中の組織をデータ流出のリスクにさらします。

OwnCloud は最近 公開通知を発行し、最高の CVSS スコア 10 を評価された最大の深刻な脆弱性を明らかにしました。CVE-2023-49103 は、OwnCloud の Graph API アプリバージョン 0.2.0 から 0.3.0 に影響を与えます。このアプリの外部ライブラリへの依存が、攻撃者に API 提供 URL を操作する許可を与えます。

GreyNoise チームは、11月の第3週における現実の攻撃で脆弱性を武器化した CVE-2023-49103 の悪用詳細に関する詳細な調査結果を提供しました。 into the CVE-2023-49103 exploit details based on the observed in-the-wild attacks weaponizing the flaw in the third decade of November.  

CVE-2023-49103 の他に、OwnCloud はソフトウェアにおける二つの他の重大なセキュリティ欠陥も報告しました。CVE-2023-49105 は CVSS スコア 9.8 の WebDAV API における認証バイパスで、CVE-2023-49104 は CVSS 評価が低い 8.7 のサブドメイン検証バイパス脆弱性です。

OwnCloud は、Graph API アプリを単に削除してもすべての問題を解決することはできないと強調しています。CVE-2023-49103 の推奨する軽減策として、防御者は「owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php」ファイルを削除し、Docker コンテナで「phpinfo」関数を無効化し、潜在的に侵害される可能性のある資格情報を完全に更新することを推奨します。ownCloud の管理者は、リスクを軽減するために示された修正とライブラリアップデートを即座に適用することが強く推奨されます。

前述の三つの脆弱性はすべて、システムの整合性に対して脅威を与えながら、組織をデータ漏洩やフィッシング攻撃にさらす可能性があります。

人気ソフトウェア製品に影響を及ぼす公表される脆弱性の増加により、組織は常にサイバー防御能力を強化し続けることが求められています。 脅威検出マーケットプレイス を活用して、あらゆる規模の CVE、ゼロデイ、および新たな脅威に対する最新の検出アルゴリズムにアクセスし、組織の手続きに積極的なサイバーセキュリティ戦略をシームレスに導入します。