Os atores da ameaça começaram a explorar uma vulnerabilidade crítica de divulgação de informações no software de colaboração e compartilhamento de arquivos de código aberto ownCloud apenas alguns dias após sua divulgação pública.
A vulnerabilidade, rastreada como CVE-2023-49103afeta o aplicativo Graphapi, permitindo que invasores recuperem variáveis de ambiente confidenciais, incluindo credenciais, chaves de licença e outras informações do sistema.
Afetando as versões 0.2.0 a 0.3.0 do Graphapi, a falha não pode ser mitigada com a desativação do aplicativo Graphapi e também requer a alteração de senhas de contas administrativas, chaves de acesso e credenciais do servidor de e-mail e banco de dados.
ownCloud divulgou a vulnerabilidade em 21 de novembro, junto com outros dois problemas críticos no software (CVE-2023-49104 e CVE-2023-49105). Na segunda-feira, a agência de segurança cibernética dos EUA CISA incluiu os bugs em seu relatório semanal resumo de vulnerabilidades, sem classificação de gravidade.
Também na segunda-feira, a atividade de ataque e os serviços de rastreamento de ativos expostos emitiram avisos sobre as primeiras tentativas de exploração em estado selvagem visando CVE-2023-49103.
Organização sem fins lucrativos de segurança cibernética Shadowserver Foundation avisou que identificou cerca de 11.000 instâncias ownCloud que estão expostas à Internet e que estão potencialmente em risco.
O maior número destes casos ocorre na Alemanha (2.000), seguida pelos EUA (1.400) e França (1.300). Rússia, Polónia, Países Baixos, Itália, Reino Unido, Canadá e Espanha estão no top 10, com centenas de casos cada.
Shadowserver alerta que a vulnerabilidade é muito fácil de explorar, pedindo aos administradores que sigam as etapas de mitigação descritas pelo ownCloud.
De acordo com dados da Greynoise, o direcionamento do CVE-2023-49103 começou em 25 de novembro, com ataques originados de um único endereço IP. O número de tentativas de exploração aumentou na segunda-feira, com 11 IPs únicos entrando na briga.
Johannes Ullrich, do SANS Internet Storm Center, também alertou sobre atividades direcionadas à vulnerabilidade ownCloud, detalhando cinco IPs envolvidos nos ataques observados, que verificaram arquivos em instâncias vulneráveis do ownCloud.
“Esse padrão pode sugerir possíveis esforços coordenados por parte de agentes de ameaças ou botnets com o objetivo de explorar a falha de segurança divulgada”, Radar SOC notas.
Ulrich, no entanto, aponta que há um fluxo constante de ataques direcionados a instâncias do ownCloud, muitos dos quais “provavelmente estão apenas tentando encontrar instâncias do ownCloud para explorar vulnerabilidades antigas ou tentar senhas fracas”.
Com informações de Cibersegurança Notícias e Ciberseg.