Una tra le più famose e apprezzate piattaforme open source per la creazione di servizi di file hosting e sincronizzazione è ownCloud. Si tratta di una soluzione aperta ed esente da costi progettata per consentire agli utenti di accedere ai propri dati, sincronizzarli e condividerli da vari dispositivi, come computer, smartphone e tablet.
ownCloud fornisce una soluzione self-hosted pronta per l’uso: ciò significa che gli utenti possono installare e gestire la piattaforma su un server di loro proprietà. È possibile approntare un server cloud personale, eventualmente appoggiandosi a un fornitore cloud, senza però condividere dati personali e informazioni riservate con alcun provider.
La piattaforma ownCloud vanta oggi oltre 200 milioni di utenti e permette di accedere da remoto ai propri file, siano essi documenti, foto e altre tipologie di oggetti, ovunque si abbia a disposizione una connessione Internet.
Attenzione alle vulnerabilità che espongono la password amministrativa di ownCloud
Dopo l’installazione, gli amministratori configurano le impostazioni di ownCloud, inclusi utenti, gruppi e diritti di accesso. Il fatto è che i responsabili del progetto hanno appena confermato l’esistenza di tre gravi vulnerabilità di sicurezza, individuate all’interno del prodotto.
Password admin ownCloud a rischio furto
La più pericolosa delle tre può essere sfruttata da parte di utenti malintenzionati per rubare la password amministrativa di ownCloud ed eventualmente utilizzarla senza alcuna autorizzazione. Il furto delle credenziali, come confermato in questo documento di supporto, può avvenire in ambienti containerizzati: l’aggressore può infatti sottrarre i valori di tutte le variabili impostate a livello di server Web.
Il componente vulnerabile è graphapi (versioni 0.2.0-0.3.0) ma il problema deriva dalla dipendenza di una libreria di terze parti che espone i dettagli sull’ambiente PHP in uso. Questo comportamento porta alla visualizzazione delle password amministrative di ownCloud e delle credenziali del server di posta.
Gli sviluppatori di ownCloud raccomandano l’immediata cancellazione del file owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
, la rimozione della funzione phpinfo
nei container Docker e la modifica di tutte le password potenzialmente esposte (credenziali di ownCloud, del server email, del database e chiavi di accesso di S3/Object Store).
Poiché lo stesso file phpinfo
può far emergere dettagli tecnici che possono essere sfruttati dagli aggressori, la vulnerabilità in questione è rilevante anche negli ambienti non containerizzati.
Bypass della procedura di autenticazione
La seconda problematica di sicurezza, confermata dagli sviluppatori di ownCloud, consente il superamento della procedura di autenticazione.
La falla in questione rende possibile, per un aggressore, di accedere a qualunque file, modificarlo o cancellarlo senza dover prima procedere ad alcuna forma di autenticazione su ownCloud. Basta solamente conoscere un nome utente valido, precedentemente configurato sulla piattaforma. La vulnerabilità è sfruttabile quando gli utenti non hanno configurato una chiave di firma (signing-key), impostazione che è quella predefinita su ownCloud.
La soluzione consiste, in questo caso, nel negare l’utilizzo di URL pre-firmati (pre-signed URLs) nel caso in cui non fosse stata configurata una chiave di firma per il proprietario dei file. Un URL pre-firmato è un URL che include un token di firma, che consente a chiunque possieda l’URL stesso di accedere a una risorsa specifica senza dover autenticarsi separatamente. Si tratta di un processo utilizzato di frequente per fornire un accesso temporaneo e limitato ad alcune risorse, come appunto un file salvato su un servizio di archiviazione cloud.
Reindirizzamento verso un dominio controllato dagli aggressori
Una terza vulnerabilità scoperta in ownCloud permette a un attaccante di inserire un URL di reindirizzamento appositamente progettato che elude il codice di convalida. In questo modo diventa possibile redirezionare le callback (richieste di ritorno) verso un dominio controllato dall’attaccante anziché verso il dominio legittimo.
La soluzione proposta consiste nel rafforzare il codice di convalida a livello di implementazione del protocollo OAuth2. In particolare, si consiglia di migliorare il processo di verifica del sottodominio per evitare che gli attaccanti possano eluderlo con URL di reindirizzamento manipolati ad arte.
A valle dell’individuazione delle tre vulnerabilità descritte, gli sviluppatori di ownCloud invitano gli utenti del software a mettere in sicurezza le loro installazioni attraverso gli interventi suggeriti. Inoltre, il suggerimento è quello di aggiornare le librerie interessate dai problemi di sicurezza nel più breve tempo possibile.