Detecção CVE-2023-49103: Uma Vulnerabilidade Crítica no Aplicativo Graph API do OwnCloud Explorada em Ataques No-Interativo
Índice:
Logo após o vulnerabilidade de dia zero do Zimbra, surge outra falha crítica de segurança afetando software popular. O software de compartilhamento de arquivos de código aberto ownCloud divulgou recentemente um trio de falhas de segurança perturbadoras em seus produtos. Entre elas, a vulnerabilidade de máxima severidade rastreada como CVE-2023-49103 recebeu a pontuação CVSS de 10 devido à facilidade de sua exploração, permitindo que adversários acessem detalhes de login dos usuários e coletem dados sensíveis. A exploração em massa do CVE-2023-49103 em intrusões no mundo real requer ultra-responsividade dos defensores para ajudar as organizações a responder prontamente à ameaça.
Detectar Tentativas de Exploração do CVE-2023-49103
Vulnerabilidades críticas em produtos de software de código aberto representam uma ameaça significativa para os defensores cibernéticos devido à ampla geografia de possíveis vítimas e à alta possibilidade de exploração em massa em campo. Para agir mais rápido do que os atores da ameaça e defender proativamente, os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção e ferramentas avançadas de detecção de ameaças. Para identificar possíveis ataques que utilizam explorações do CVE-2023-49103, a plataforma SOC Prime oferece uma regra de detecção curada pelo nosso atencioso desenvolvedor Threat Bounty Wirapong Petshagun.
Esta regra Sigma detecta uma potencial tentativa de exploração visando o App Graph API de ownCloud bug (CVE-2023-49103). A detecção é mapeada para MITRE ATT&CK® abordando a tática de Acesso Inicial com a técnica de Aplicativo Explorado Publicamente (T1190). Converta automaticamente o código de detecção para dezenas de soluções de SIEM, EDR, XDR e Lago de Dados e explore CTI relevantes para pesquisa de ameaças agilizada.
Para ver a lista completa de regras de detecção que abordam a exploração de vulnerabilidades emergentes e críticas, clique no Explorar Detecções botão abaixo. Todas as regras são acompanhadas por metadados detalhados, incluindo links CTI, mapeamento ATT&CK, recomendações de triagem e mais.
Entusiasmado para se juntar à defesa cibernética coletiva e obter benefícios financeiros por sua contribuição? Registre-se no SOC Prime Threat Bounty programa para defensores cibernéticos, contribua com suas próprias regras de detecção, codifique seu futuro CV, conecte-se com especialistas do setor e receba pagamentos por sua contribuição.
Análise do CVE-2023-49103
Uma vulnerabilidade crítica no ownCloud, uma ferramenta empresarial amplamente utilizada para sincronização e compartilhamento de arquivos de nível empresarial, identificada como CVE-2023-49103 está sendo massivamente utilizada por hackers em ataques em andamento. Tentativas de exploração bem-sucedidas permitem que invasores roubem informações sensíveis, como credenciais de administrador e servidor de e-mail, ou chaves de licença, expondo organizações globais ao risco de violações de dados.
Recentemente o OwnCloud emitiu um aviso público, revelando uma vulnerabilidade de severidade máxima classificada com uma pontuação CVSS de 10. O CVE-2023-49103 impacta as versões do aplicativo Graph API do OwnCloud da 0.2.0 até a 0.3.0. A dependência do aplicativo de uma biblioteca externa dá aos atacantes luz verde para manipular o URL fornecido pela API.
A equipe GreyNoise forneceu uma pesquisa aprofundada nos detalhes da exploração do CVE-2023-49103 com base nos ataques observados em campo explorando a falha na terceira década de novembro.
Além do CVE-2023-49103, o OwnCloud também relatou duas outras falhas críticas de segurança em seu software — CVE-2023-49105, um bypass de autenticação na API WebDAV com uma pontuação CVSS de 9.8, e CVE-2023-49104, uma vulnerabilidade de desvio de validação de subdomínio recebendo uma classificação CVSS inferior de 8.7.
O OwnCloud enfatiza que simplesmente remover o app Graph API não pode resolver todos os problemas. Como medidas de mitigação recomendadas para o CVE-2023-49103, os defensores sugerem remover o arquivo “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, desativar a função “phpinfo” em contêineres Docker e atualizar completamente as credenciais potencialmente comprometidas. Recomenda-se fortemente aos administradores do ownCloud que apliquem instantaneamente as correções sugeridas e atualizações de bibliotecas para mitigar os riscos.
Todas as três vulnerabilidades mencionadas acima podem potencialmente expor organizações a violações de dados e ataques de phishing enquanto representam ameaças à integridade do sistema.
Os volumes crescentes de vulnerabilidades divulgadas impactando produtos de software populares incentivam as organizações a continuamente fortalecerem suas capacidades de defesa cibernética. Confie no Threat Detection Marketplace para alcançar os algoritmos de detecção mais recentes contra CVEs, zero-days e ameaças emergentes de qualquer escala e implementar perfeitamente a estratégia de cibersegurança proativa nos procedimentos de sua organização.
