FEHLER!

Nextcloud unter der Lupe: BSI entdeckt kritische Sicherheitslücken

Sicherheitslücken in Nextcloud aufgedeckt: BSI analysiert Schwachstellen

Im Rahmen des Projekts CAOS 3.0, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) initiiert wurde und sich mit der Codeanalyse von Open-Source-Software beschäftigt, untersuchte das Münchner Unternehmen MGM Security Partners die Serveranwendung Nextcloud auf potenzielle Sicherheitsrisiken. Die Analyse, die im Auftrag des BSI durchgeführt wurde, ergab 16 Schwachstellen mit hohem Gefahrenpotenzial in Nextcloud selbst sowie in vier offiziellen Plugins für die Zwei-Faktor-Authentifizierung (2FA).

Der Fokus lag dabei nicht nur auf der Kernanwendung, sondern auch auf wichtigen Zusatzfunktionen wie dem Client für Desktop und Smartphone. Drittanbieter-Erweiterungen wurden jedoch im Frühjahr 2023 nicht untersucht. Insgesamt wurden 43 Schwachstellen mit einer CVE-ID identifiziert. Während die Entwickler von Nextcloud viele dieser Lücken bereits behoben haben, erwies sich der Bericht als eindringliches Beispiel für die kontinuierliche Notwendigkeit von Sicherheitsüberprüfungen in Open-Source-Software.

Einige der aufgedeckten Schwachstellen sind besonders kritisch:

– Zwei-Faktor-Authentifizierung (2FA) anfällig: Fehlende Authentifizierungsmechanismen beim Austausch von Dateien zwischen Nextcloud-Instanzen ermöglichten es Angreifern, sich als beliebiger Nutzer auszugeben und bösartige Dateien zu versenden. Nutzer mussten zwar die Dateiübernahme bestätigen, jedoch fehlte die Überprüfung des Absenders durch die empfangende Instanz.

– Klartext-Passwörter im Speicher: Während der Sitzung wurden Passwörter im Klartext gespeichert. Dies ermöglichte Angreifern, durch Ausnutzung anderer Schwachstellen, beispielsweise Cross-Site-Scripting, auf diese sensiblen Daten zuzugreifen.

– Unverbindliche Authentifizierung bei externen Speichern: Die Integration externer Speicher in Nextcloud funktionierte ohne erneute Eingabe von Benutzername und Passwort. Dies ermöglichte Angreifern mit Zugriff auf ein Nextcloud-Konto, externe Speicher einzurichten und die dort übertragenen Zugangsdaten auszulesen.

Das CAOS-Projekt unterstreicht die Bedeutung der kontinuierlichen Sicherheitsüberprüfung von Open-Source-Software wie Nextcloud. Durch die frühzeitige Identifizierung und Behebung von Schwachstellen trägt das Projekt zur sicheren Entwicklung dieser Software bei und schützt Nutzer vor potenziellen Angriffen.

Als Teil dieses Projekts wurden bereits Passwortmanager (KeePass, Vaultwarden) sowie dezentrale Dienste (Mastodon, Matrix) analysiert, um das Sicherheitsniveau der Open-Source-Landschaft kontinuierlich zu verbessern.

Schlagwörter: Nextcloud + BSI + CAOS

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 6. Februar 2025