CVE-2023-49103 탐지: OwnCloud의 Graph API 앱에서 현장 공격에 악용된 심각한 취약점

Zimbra 제로데이 취약점에 이어 , 또 다른 심각한 보안 결함이 인기 있는 소프트웨어에 발생하고 있습니다. 오픈 소스 파일 공유 소프트웨어인 ownCloud는 최근 자사 제품에서 발생한 세 가지 심각한 보안 문제를 공개했습니다. 그중에서도 CVE-2023-49103이라는 최대 심각도의 취약점은 악용이 용이하여 CVSS 점수 10점을 획득하였으며, 이는 적들이 사용자 로그인 정보에 접근하고 민감한 데이터를 수집할 수 있게 합니다. CVE-2023-49103의 대규모 실세계 침입에서의 악용은 위협에 신속히 대응할 수 있도록 방어자들의 초고속 대응을 요구합니다., another critical security flaw affecting popular software comes to the scene. The open-source file-sharing software ownCloud has recently disclosed a trio of disturbing security holes in its products. Among them, the max severity vulnerability tracked as CVE-2023-49103 gained the CVSS score of 10 due to the ease of its exploitation, enabling adversaries to access user login details and collect sensitive data. The mass exploitation of CVE-2023-49103 in real-world intrusions requires ultra-responsiveness from defenders to help organizations promptly respond to the threat.

CVE-2023-49103 악용 시도를 감지

오픈 소스 소프트웨어 제품의 심각한 취약점은 잠재적인 피해자의 광범위한 지리적 위치와 실세계에서의 대규모 악용 가능성으로 인해 사이버 방어자들에게 중대한 위협을 제기합니다. 위협 행위자보다 더 빠르게 대응하고 능동적으로 방어하기 위해서는 보안 전문가는 신뢰할 수 있는 탐지 콘텐츠 소스와 고급 위협 탐지 도구가 필요합니다. CVE-2023-49103 악용을 활용한 가능한 공격을 식별하기 위해 SOC Prime Platform은 날카로운 Threat Bounty 개발자인 Wirapong Petshagun.

ownCloud의 Graphapi 앱에서 발생하는 잠재적인 치명적 취약점 (CVE-2023-49103) 악용 시도 (웹 서버를 통해)

이 시그마 규칙은 ownCloud 버그(CVE-2023-49103)를 대상으로 한 Graph API 앱의 잠재적 악용 시도를 감지합니다. 이 탐지는 MITRE ATT&CK® 의 초기 접근전략에 해당하는 Exploit Public-Facing Application (T1190) 기법과 연결됩니다. 탐지 코드를 수십 개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션으로 자동 변환하고 관련 CTI를 탐색하여 위협 연구를 원활하게 진행하세요.

새롭게 떠오르는 심각한 취약점 악용 문제를 다루는 탐지 규칙의 전체 목록을 보려면 아래의 탐지 탐색 버튼을 누르세요. 모든 규칙은 CTI 링크, ATT&CK 매핑, 조치 추천을 포함한 자세한 메타데이터와 함께 제공됩니다.

탐지 탐색

집단 사이버 방어에 참여하고 기여에 대한 금전적 혜택을 얻고 싶으신가요? SOC Prime Threat Bounty 프로그램에 등록하여 사이버 방어자들에게 자신의 탐지 규칙을 기여하고, 당신의 미래 이력서를 코딩하고, 산업 전문가들과 네트워크를 형성하며, 기여에 대한 보상을 받으세요.

CVE-2023-49103 분석

기업급 파일 동기화 및 공유를 위한 널리 사용되는 비즈니스 도구인 ownCloud의 심각한 취약점으로 식별된 CVE-2023-49103 은 현재 진행 중인 공격에서 대규모로 해커들에 의해 악용되고 있습니다. 성공적인 악용 시도는 공격자들이 관리자 및 메일 서버 자격 증명, 또는 라이센스 키와 같은 민감한 정보를 탈취할 수 있도록 하여 전 세계 조직을 데이터 유출 위험에 노출시킵니다.

ownCloud는 최근 공지를 발표하여 최고 CVSS 점수 10으로 등급이 매겨진 최대 심각도 취약점을 공개했습니다. CVE-2023-49103은 ownCloud의 Graph API 앱 버전 0.2.0부터 0.3.0까지에 영향을 미칩니다. 외부 라이브러리에 대한 의존도가 높아 공격자들이 API로 제공되는 URL을 조작할 수 있는 길을 열어줍니다.

GreyNoise 팀은 11월 셋째 주의 실제 공격에서 결함을 무기화한 것을 바탕으로 CVE-2023-49103 악용 세부 사항에 대한 심층 연구를 제공했습니다.

CVE-2023-49103 외에도 ownCloud는 두 가지 추가적인 심각한 보안 결함을 보고했습니다 — CVE-2023-49105는 CVSS 9.8 점수를 받은 WebDAV API의 인증 우회 문제이고, CVE-2023-49104는 더 낮은 CVSS 등급인 8.7을 받은 하위 도메인 검증 우회 취약점입니다.

ownCloud는 단순히 Graph API 앱을 제거하는 것으로는 모든 문제를 해결할 수 없다고 강조합니다. 권장되는 CVE-2023-49103 완화 조치로는 owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php 파일을 제거하고 Docker 컨테이너에서 phpinfo 함수를 비활성화하며 잠재적으로 손상된 자격 증명을 완전히 업데이트하는 것이 제안되고 있습니다. ownCloud 관리자는 즉시 제안된 수정 및 라이브러리 업데이트를 적용하여 위험을 완화하는 것이 강력히 권장됩니다.

앞서 언급한 세 가지 취약점 모두 조직을 데이터 유출 및 피싱 공격에 노출시킬 가능성이 있으며 시스템 무결성에 위협을 가할 수 있습니다.

인기 소프트웨어 제품에 영향을 미치는 공개된 취약점의 증가하는 양은 조직들로 하여금 지속적으로 사이버 방어 능력을 강화하도록 유도합니다. 위협 탐지 마켓플레이스 를 믿고 최신 탐지 알고리즘을 CVE, 제로데이, 그리고 다양한 규모의 새로 발생하는 위협에 대하여 도입하여, 귀하의 조직 절차에 능동적인 사이버 보안 전략을 원활하게 구현하십시오.