Das Münchener Unternehmen MGM Security Partners die Serveranwendung des Cloudanbieters Nextcloud analysiert und mehrere Schwachstellen gefunden. Angreifer konnten im Klartext gespeicherte Passwörter auslesen und die Zwei-Faktor-Authentifizierung umgehen. Die Untersuchung erfolgte im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Teil des Projektes zur Codeanalyse von Open-Source-Software (CAOS 3.0). Nextcloud wies der Untersuchung zufolge 16 Sicherheitslücken mit hohem Gefahrenpotenzial auf. Die Entwickler haben bereits auf die Schwachstellen reagiert.
Anzeige
Neben der Open-Source-Anwendung selbst untersuchten die Forscher den Quellcode von vier offiziellen Plugins für die Zwei-Faktor-Authentifizierung (2FA). Der Nextcloud-Client für Desktop und Smartphone sowie Erweiterungen von Drittanbietern gehörten nicht zum Umfang der Analyse im Frühjahr 2023. Für insgesamt 43 Schwachstellen erhielten die Kontrolleure eine CVE-ID. Sie überprüften die Korrekturen und bei der Fertigstellung des Ergebnisberichtes im Juli 2024 erfüllten zwei Fixes noch nicht die Anforderungen der Prüfer. Das BSI veröffentlichte den Bericht verzögert, damit die Entwickler die Schwachstellen beheben können.
Die unter CVE-2024-37313 gemeldete Sicherheitslücke mit hohem Gefahrenpotenzial ermöglichte es Angreifern, die 2FA zu umgehen und einen Account mit ihnen bekannten Zugangsdaten zu übernehmen. Ein Dienst in der Serveranwendung prüft, ob eine Sitzung eine 2FA zum Login benötigt. Mögliche Ausnahmen sind etwa für App-Passwörter vorgesehen. Ein Implementierungsfehler hatte zur Folge, dass die 2FA für alle Sitzungstypen ausgesetzt ist, wenn die Sitzung zur Eingabe des Einmalkennworts abgelaufen ist. Dazu kann der Angreifer abwarten oder eine ungültige Sitzungs-Passphrase versenden.
Eine weitere Lücke erkannten die Prüfer beim Austausch von Dateien zwischen zwei Nextcloud-Instanzen. Aufgrund fehlender Authentifizierungsmechanismen konnte die empfangende Instanz den Eigentümer der Datei seitens der sendenden Instanz nicht überprüfen. Zwar müssen Nutzer eine Anfrage zum Dateiempfang bestätigen. Weil sich Angreifer aber als ein beliebiger Nutzer der sendenden Instanz ausgeben konnten, ließen sich so bösartige Dateien verschicken.
Anwender können externe Speicher in Nextcloud einbinden und die Verknüpfung mit ihren Zugangsdaten authentifizieren. Dazu war jedoch keine erneute Eingabe des Benutzernamens und Passworts erforderlich. Hatte ein Angreifer Zugriff auf ein Nextcloud-Konto, konnte er einen externen Speicher einrichten, mit dem Konto verknüpfen und dort die übertragenen Zugangsdaten auslesen. Ebenfalls wurden Passwörter während der Sitzung im Klartext gespeichert, sodass Angreifer sie mittels Ausnutzen anderer Schwachstellen, etwa per Cross-Site-Scripting, ermitteln konnten.
Bereits seit 2021 betreibt das CAOS-Projekt zur Untersuchung von Anwendern und Behörden häufig genutzter Open-Source-Software. Das Ziel ist es, Sicherheitslücken zu finden und den Verantwortlichen mitzuteilen, um so die sichere Entwicklung quelloffener Software zu fördern. Als Teil der Initiative untersuchten BSI und MGM bereits die Passwortmanager KeePass und Vaultwarden sowie die dezentralen Dienste Mastodon und Matrix.
(
Kommentare