ownCloud este un software client-server care acordă administratorilor mai multe privilegii, cum ar fi efectuarea de comenzi acționând ca utilizatorul intenționat, în mod esențial, imitându-se de un alt utilizator pentru a îndeplini sarcinile dorite. Din motive de securitate, administratorii grupului pot face lucruri numai sub umbrela altor membri ai grupului. În ciuda faptului că această măsură a fost pusă în aplicare, exploatarea unei autorizații cruciale de uzurpare a identității utilizatorului ocolește atacul.
Vulnerabilitatea a fost descoperită pentru prima dată de Thierry Viaccoz pe 15adin martie. Prima notificare a furnizorului a fost trimisă pe 16adin martie și vânzătorul a răspuns înapoi cu un mesaj de recunoaștere chiar în aceeași zi. Puțin peste o lună mai târziu, versiunea corectată a versiunii software 0.2.0 a fost lansată pe 17adin martie și o dată de publicare a chestiunii a fost stabilită la 29adin august, care a fost acum doar câteva zile.
Această vulnerabilitate afectează ownCloud versiunea 0.1.2. Versiunea 0.2.0 este găsită neafectată. Alte versiuni ale ownClouc nu au fost încă testate, dar se suspectează că versiunile mai vechi pot fi vulnerabile la același defect ca în versiunea 0.1.2.
Această vulnerabilitate cu risc ridicat nu a primit încă o etichetă de identificare CVE. Cu toate acestea, cazul său este urmărit sub eticheta CSNS ID CSNC-2018-015. Vulnerabilitatea este exploatabilă de la distanță și afectează identitatea propriului Cloud.
Pentru a recrea acest atac, trebuie mai întâi să creați două grupuri (g1 și g2). Apoi, trebuie să creați patru utilizatori folosind aceste grupuri: test1, grup 1, grup admin = grup 1; test 2, grup 1, administrator grup = fără grup; test 3, grup 2, grup admin = grup 2; testul 4, grupul 2, administratorul grupului = fără grup.
Cea mai semnificativă atenuare, soluționare și / sau soluție publicată pentru această problemă este o recomandare pentru utilizatori să verifice în permanență autorizația altor persoane, pentru a împiedica administratorii de grup să suplinească identitatea altor persoane sau grupuri.
