Ciberdelincuentes comienzan a explotar una falla crítica de ownCloud
En esta ocasión, los actores maliciosos se encuentran explotando una vulnerabilidad crítica de ownCloud, un popular servicio de almacenamiento y sincronización de archivos en la nube, el cual puede instalarse en un servidor.
La vulnerabilidad, que ya ha sido identificada, se encarga de exponer contraseñas de administrador, credenciales de servidores de correo y claves de licencia, con implementaciones en contendedores. La plataforma ownClud, la cual es de código abierto, está diseñada también para aquellos que quieren administrar y compartir datos y archivos, por medio de un entorno y ecosistema autohospedado.
Hace algunos días, los desarrolladores de software se encargaron de publicar diversos boletines de seguridad, con el objeto de informar acerca de 3 vulnerabilidades que pueden provocar violaciones de datos. Esto con el fin de instar a los administradores de ownCloud a aplicar las medidas recomendadas de inmediato.
De las 3 fallas, una ha recibido la máxima puntuación de gravedad CVSS, la cual es de 10.0, esto debido a que puede permitir que un actor malicioso, ejecute de forma remota varios scripts mediante la aplicación ownCloud llamada “graphapi”, la cual puede revelar las variables de entorno de un servidor. Entre estas se incluyen las credenciales almacenadas en dichas variables.
En el boletín de seguridad, los expertos manifiestan que, en implementaciones en contenedores, estas variables de entorno pueden incluir datos sensibles y confidenciales, como la contraseña de administrador de ownCloud, por ejemplo. Además, pueden contener las credenciales del servidor de correo y la clave de la licencia.
Del mismo modo, si otros servicios de este mismo entorno emplean las mismas variables y configuraciones, se pueden usar las mismas credenciales para acceder a estos servicios, ampliando la brecha de seguridad entre los usuarios.
Una empresa que tenga deficiencias de ciberseguridad puede quedar fuera de juego en un corto plazo. Esto debido a que los hackers maliciosos van a robar la información y podrían paralizar procesos. Para que esto no le pase a tu compañía, TIC Defense tiene un amplio abanico de herramientas, productos y soluciones acordes a las necesidades de la infraestructura informática de tu organización.
Por mala fortuna, aprovechar las fallas de seguridad de ownCloud y perpetrar ataques de robo de datos, no es nada complicado. Incluso, se ha descubierto que los actores maliciosos ya explotan esta falla en sus ataques.
Una empresa de seguimiento de amenazas, también informó que ha observado una explotación masiva de esta falla, la cual se encontraba en un estado primario. Esto a partir del mes de noviembre pasado. La trayectoria de la explotación de dicha falla es ascendente, la compañía había rastreado alrededor de 12 direcciones IP únicas explotando la vulnerabilidad.
Otros especialistas de seguridad informática también apuntan observaciones similares, en donde advierten que, actualmente, han detectado más de 11 mil instancias expuestas. La mayoría de ellas se ubican en países como Alemania, Francia, Rusia y los Estados Unidos.
Como es de esperarse, la preocupación radica en la mayor explotación de este fallo, por ello, recomiendan a los administradores de ownCloud que empiecen a tomar medidas urgentes y necesarias para corregir la brecha y mitigar los posibles daños.
La solución que recomiendan, es eliminar el siguiente archivo:
Además, se recomienda desactivar la función “phpinfo” en los contenedores Docker y cambiar datos potencialmente expuestos, como la contraseña de administrador de ownCloud, servidor de correo, credenciales de base de datos y claves de acceso a Object-Store/S3.
Es importante que tengas en cuenta que deshabilitar la aplicación “graphapi”, no va a mitigar esta amenaza por completo. Esto se debe a que es igualmente grave tanto para entornos en contenedores como en entornos que no están basados en contenedores.
