Spannende Geschichte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Open Source Kollaborationssoftware Nextcloud im Hinblick auf ihre Sicherheitseigenschaften untersucht. Dabei wurden mehrere Schwachstellen identifiziert. Unter anderem hätte sich die Zweifaktor-Authentifizierung umgehen lassen.
Anzeige
Nextcloud ist eine auf einem ownCloud-Fork basierende, in PHP entwickelte, freie Software für das Speichern von Daten auf einem Server. Auf die Daten kann der Anwender sowohl über eine Weboberfläche als auch mit Client-Applikationen (Smartphone und Desktop) zugreifen. Server und Clients können sich dabei synchronisieren.
Nextcloud ermöglicht dem Anwender dadurch, auf einen zentralen und konsistenten Datenbestand von vielen Endgeräten aus zuzugreifen und diesen mit anderen Anwendern optional zu teilen. Neben der Datenhaltung bietet Nextcloud Funktionalitäten für Videokonferenzen und verschiedene Office-Applikationen über die Weboberfläche.
Sicherheitsprüfung des BSI
Cyberangriffe lassen sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen. In Kooperation mit der mgm security partners GmbH hat das BSI im Jahr 2021 das Projekt "Codeanalyse von Open Source Software" (CAOS) gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen.
Das Projekt soll Entwicklerinnen und Entwicklern bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatpersonen genutzt werden.
Anzeige
Prüfung der Software Nextcloud
Das BSI überprüfte laut dieser Mitteilung mit der mgm security partners GmbH im Rahmen des Projekts "Codeanalyse von Open Source Software" (CAOS 3.0) den Quellcode der Software Nextcloud auf mögliche Mängel. Die Prüfung umfasste neben Nextcloud auch die Erweiterungen "Two-Factor Admin Support", "Two-Factor Email", "Two-Factor TOTP Provider" und "Two-Factor Webauthn".
Schwachstellen gefunden und geschlossen
Dabei gefundene Schwachstellen hat das BSI im Rahmen eines Coordinated Vulnerability Disclosure Verfahrens den betroffenen Entwicklerinnen und Entwicklern mitgeteilt. Diese haben die Schwachstellen analysiert und bereits reagiert.
Nextcloud bietet die Nutzung der Zwei-Faktor-Authentifizierung (2FA) an. Durch das Abfangen und Manipulieren der 2FA-Verifizierungsanfrage ist es jedoch laut Prüfbericht jedoch möglich gewesen, die 2FA-Verifizierung zu umgehen. Dadurch ist es einem Angreifer, der in den Besitz der Zugangsdaten zu einem Konto gelangt, möglich, dieses Konto zu kompromittieren, selbst wenn 2FA für das Konto aktiviert wurde.
Darüber hinaus ermöglicht Nextcloud laut Prüfbericht den Nutzern, Dateien zwischen verschiedenen Nextcloud-Instanzen auszutauschen. Dabei ist jedoch kein Authentifizierungsmechanismus zwischen den austauschenden Instanzen implementiert. Das bedeutet, dass eine empfangende Instanz A nicht überprüfen kann, wer der Eigentümer der geteilten Datei seitens der Instanz B ist.
Ein Benutzer einer Instanz B kann daher eine Datei mit einem Benutzer der Instanz A austauschen und sich dabei als ein beliebiger anderer Benutzer der Instanz B ausgeben. Ein Angreifer könnte somit die Vertrauenswürdigkeit eines anderen Benutzers der Instanz des Angreifers missbrauchen, um bösartige Dateien mit Benutzern einer anderen Instanz zu teilen. Vor dem Zugriff auf die eigentliche Datei muss der angegriffene Benutzer jedoch die Anfrage zum Teilen der Datei akzeptieren. Da sich der Angreifer jedoch als vertrauenswürdige Person ausgibt, ist es einfacher, die Zustimmung des angegriffenen Benutzers zu erhalten.
Die Nextcloud-Anwendung „External Storage Support" ermöglichte es Nutzern, externe Speicher zu integrieren. Wenn ein Nutzer einen solchen externen Speicher zu seinem Konto hinzufügen möchte, kann er zwischen verschiedenen Methoden zur Authentifizierung am externen Speicher wählen. Eine der Optionen ist die Verwendung der aktuellen Zugangsdaten des Nutzers zur Authentifizierung am externen Speicher.
Die Verwendung der aktuellen Zugangsdaten am hinzuzufügenden externen Speicher erfordert keine erneute Authentifizierung (d.h. keine erneute Passworteingabe) des Benutzers. Dies ermöglicht einem Angreifer, der bereits Zugriff auf die Sitzung eines Benutzers hat, die Zugangsdaten des Benutzers zu stehlen und das Konto vollständig zu kompromittieren.
Als weitere Authentifizierungsmethode erlaubt die Storage-Anwendung die Verwendung von globalen Zugangsdaten für den Zugriff auf einen eingebundenen externen Speicher. Bei Verwendung dieser Methode können die globalen Zugangsdaten zu einem späteren Zeitpunkt im Klartext an den Benutzer zurückgegeben werden. Dies könnte einem Angreifer in Kombination mit anderen potentiellen Schwachstellen (wie z.B. Cross-Site Scripting) ermöglichen, an die Zugangsdaten zu gelangen und den externen Storage zu kompromittieren.
Zusammenfassung der Ergebnisse
Die umfassende statische Quellcodeanalyse führte insgesamt zu zwei als [medium]
und 39 als [info] eingestuften SAST-, sowie 16 als [hoch] und 6 als [mittel] eingestuftem SCA-Findings. Die Bewertung der Korrekturen zu 43 CVEs aus den vergangenen anderthalb Jahren brachten 2 Einträge ans Licht, welche bis zur untersuchten Version noch nicht korrekt korrigiert wurden. Der gesamte Prüfbericht lässt sich hier als PDF-Dokument abrufen.
Anzeige
Der Geschäftsführer von NextCloud Frank Karlitschek hat auf Heise Online
den nachfolgenden Beitrag veroffintlicht:
https://www.heise.de/forum/heise-online/Kommentare/BSI-Analyse-von-Nextcloud-Zwei-Faktor-Authentifizierung-war-angreifbar/Falschaussagen-Was-ist-da-los-heise/posting-44891781/show/
Zitat:
Der Artikel enthält leider viele Falschaussagen.
Was ist das los heise? Geht es Euch um click-bait?
Die Zeiten von heise sind weitestgehend vorbei….
FULL ACK. Die leben schon lange nur noch von der Substanz und versuchen sich jetzt wieder durch irgendwas zu bereichern, gerade ist es KI, davor war es Blockchain und davor war es "Cloud". Und sie werden für das technisch verständige Publikum jedesmal ungläubwürdiger und die 15jährige Britney Schulze mit dem Handy in der Hand interessiert sich immer noch nicht für Heise. Heise Leser erkennt man daran das sie in der Bahn nicht in ihr Handy starren, nur hat Heise(Christian?) leider kein Vertrauen in seine Leser.