「ownCloud」で多数の超高リスク群の脆弱性が発見

セキュリティメディアの「Security Week」によると、オープンソースのファイル共有プラットフォームであるオウンクラウド( ownCloud )で超高リスク群の脆弱性が発見されたそうです。CVSSは、10点と9.8点、9点を受けたほど危険であり、エクスプロイトに成功した場合、攻撃者は認証の手続きをバイパスしてクリデンシャルなどの機密情報を公開することができるようになります。最初の10点の脆弱性は、graphapiというアプリの0.2.0~0.3.0バージョンに影響を与えます。9.8点の脆弱性は、10.6.0~10.13.0バージョンのownCloud coreに影響を与えます。そして、9点の脆弱性は、0.6.1以前のバージョンのoauth2アプリに影響します。

ファイル共有システムがエクスプロイトされる場合、情報漏えいの危険度が大きく増加します。最近、Clop（Cl0p）というランサムウェアグループがファイル共有プラットフォームであるムーブイット（MOVEit）のゼロデイを攻略し、多数の企業から機密情報を簡単に取り出して脅迫を続けています。いかにも事態が大きな規模で起こったのか、依然として被害者がすべて把握されていない状況です。

オウンクラウドの関係者は、「この脆弱性をエクスプロイトすると、攻撃者は管理者のパスワード、メールサーバーのクリデンシャル、ライセンスキーなど、非常に機密性の高い情報を奪うことができるようになります。」と述べました。

MOVEitの脆弱性攻撃に関しては、自動車部品業者「オートゾーン」、 MOVEit を通じた侵入被害を受けをご参照ください。