![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Spannende Geschichte. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat die Open Source Kollaborationssoftware Nextcloud im Hinblick auf ihre Sicherheitseigenschaften untersucht. Dabei wurden mehrere Schwachstellen identifiziert. Unter anderem h\u00e4tte sich die Zweifaktor-Authentifizierung umgehen lassen.<\/p>\n
<\/p>\n
Nextcloud<\/a> ist eine auf einem ownCloud-Fork basierende, in PHP entwickelte, freie Software f\u00fcr das Speichern von Daten auf einem Server. Auf die Daten kann der Anwender sowohl \u00fcber eine Weboberfl\u00e4che als auch mit Client-Applikationen (Smartphone und Desktop) zugreifen. Server und Clients k\u00f6nnen sich dabei synchronisieren.<\/p>\n Nextcloud erm\u00f6glicht dem Anwender dadurch, auf einen zentralen und konsistenten Datenbestand von vielen Endger\u00e4ten aus zuzugreifen und diesen mit anderen Anwendern optional zu teilen. Neben der Datenhaltung bietet Nextcloud Funktionalit\u00e4ten f\u00fcr Videokonferenzen und verschiedene Office-Applikationen \u00fcber die Weboberfl\u00e4che.<\/p>\n Cyberangriffe lassen sich in den meisten F\u00e4llen auf Fehler im Programmcode der betroffenen Anwendungen zur\u00fcckf\u00fchren.\u00a0In Kooperation mit der mgm security partners GmbH hat das BSI im Jahr 2021 das Projekt \"Codeanalyse von Open Source Software\" (CAOS) gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erh\u00f6hen.<\/p>\n Das Projekt soll Entwicklerinnen und Entwicklern bei der Erstellung sicherer Softwareanwendungen unterst\u00fctzen und das Vertrauen in Open Source Software steigern. Der Fokus liegt auf Anwendungen, die vermehrt von Beh\u00f6rden oder Privatpersonen genutzt werden.<\/p>\n Das BSI \u00fcberpr\u00fcfte laut dieser Mitteilung<\/a> mit der mgm security partners GmbH im Rahmen des Projekts \"Codeanalyse von Open Source Software\" (CAOS 3.0) den Quellcode der Software Nextcloud auf m\u00f6gliche M\u00e4ngel.\u00a0Die Pr\u00fcfung umfasste neben Nextcloud auch die Erweiterungen \"Two-Factor Admin Support\", \"Two-Factor Email\", \"Two-Factor TOTP Provider\" und \"Two-Factor Webauthn\".<\/p>\n Dabei gefundene Schwachstellen hat das BSI im Rahmen eines Coordinated Vulnerability Disclosure Verfahrens den betroffenen Entwicklerinnen und Entwicklern mitgeteilt. Diese haben die Schwachstellen analysiert und bereits reagiert.<\/p>\n Nextcloud bietet die Nutzung der Zwei-Faktor-Authentifizierung (2FA) an. Durch das Abfangen und Manipulieren der 2FA-Verifizierungsanfrage ist es jedoch laut Pr\u00fcfbericht jedoch m\u00f6glich gewesen, die 2FA-Verifizierung zu umgehen. Dadurch ist es einem Angreifer, der in den Besitz der Zugangsdaten zu einem Konto gelangt, m\u00f6glich, dieses Konto zu kompromittieren, selbst wenn 2FA f\u00fcr das Konto aktiviert wurde.<\/p>\n Dar\u00fcber hinaus erm\u00f6glicht Nextcloud laut Pr\u00fcfbericht den Nutzern, Dateien zwischen verschiedenen Nextcloud-Instanzen auszutauschen. Dabei ist jedoch kein Authentifizierungsmechanismus zwischen den austauschenden Instanzen implementiert. Das bedeutet, dass eine empfangende Instanz A nicht \u00fcberpr\u00fcfen kann, wer der Eigent\u00fcmer der geteilten Datei seitens der Instanz B ist.<\/p>\n Ein Benutzer einer Instanz B kann daher eine Datei mit einem Benutzer der Instanz A austauschen und sich dabei als ein beliebiger anderer Benutzer der Instanz B ausgeben. Ein Angreifer k\u00f6nnte somit die Vertrauensw\u00fcrdigkeit eines anderen Benutzers der Instanz des Angreifers missbrauchen, um b\u00f6sartige Dateien mit Benutzern einer anderen Instanz zu teilen. Vor dem Zugriff auf die eigentliche Datei muss der angegriffene Benutzer jedoch die Anfrage zum Teilen der Datei akzeptieren. Da sich der Angreifer jedoch als vertrauensw\u00fcrdige Person ausgibt, ist es einfacher, die Zustimmung des angegriffenen Benutzers zu erhalten.<\/p>\n Die Nextcloud-Anwendung \u201eExternal Storage Support\" erm\u00f6glichte es Nutzern, externe Speicher zu integrieren. Wenn ein Nutzer einen solchen externen Speicher zu seinem Konto hinzuf\u00fcgen m\u00f6chte, kann er zwischen verschiedenen Methoden zur Authentifizierung am externen Speicher w\u00e4hlen. Eine der Optionen ist die Verwendung der aktuellen Zugangsdaten des Nutzers zur Authentifizierung am externen Speicher.<\/p>\n Die Verwendung der aktuellen Zugangsdaten am hinzuzuf\u00fcgenden externen Speicher erfordert keine erneute Authentifizierung (d.h. keine erneute Passworteingabe) des Benutzers. Dies erm\u00f6glicht einem Angreifer, der bereits Zugriff auf die Sitzung eines Benutzers hat, die Zugangsdaten des Benutzers zu stehlen und das Konto vollst\u00e4ndig zu kompromittieren.<\/p>\n Als weitere Authentifizierungsmethode erlaubt die Storage-Anwendung die Verwendung von globalen Zugangsdaten f\u00fcr den Zugriff auf einen eingebundenen externen Speicher. Bei Verwendung dieser Methode k\u00f6nnen die globalen Zugangsdaten zu einem sp\u00e4teren Zeitpunkt im Klartext an den Benutzer zur\u00fcckgegeben werden. Dies k\u00f6nnte einem Angreifer in Kombination mit anderen potentiellen Schwachstellen (wie z.B. Cross-Site Scripting) erm\u00f6glichen, an die Zugangsdaten zu gelangen und den externen Storage zu kompromittieren.<\/p>\n Die umfassende statische Quellcodeanalyse f\u00fchrte insgesamt zu zwei als [medium] Spannende Geschichte. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat die Open Source Kollaborationssoftware Nextcloud im Hinblick auf ihre Sicherheitseigenschaften untersucht. Dabei wurden mehrere Schwachstellen identifiziert. Unter anderem h\u00e4tte sich die Zweifaktor-Authentifizierung umgehen lassen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[8473,4328,3836],"class_list":["post-308330","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-nextcloud","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308330","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308330"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308330\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308330"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308330"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308330"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Sicherheitspr\u00fcfung des BSI<\/h2>\n
Pr\u00fcfung der Software Nextcloud<\/h3>\n
Schwachstellen gefunden und geschlossen<\/h3>\n
Zusammenfassung der Ergebnisse<\/h3>\n
\nund 39 als [info] eingestuften SAST-, sowie 16 als [hoch] und 6 als [mittel] eingestuftem SCA-Findings. Die Bewertung der Korrekturen zu 43 CVEs aus den vergangenen anderthalb Jahren brachten 2 Eintr\u00e4ge ans Licht, welche bis zur untersuchten Version noch nicht korrekt korrigiert wurden. Der gesamte Pr\u00fcfbericht l\u00e4sst sich hier<\/a> als PDF-Dokument abrufen.<\/p>\n","protected":false},"excerpt":{"rendered":"