BSI-Analyse von Nextcloud: Zwei-Faktor-Authentifizierung war angreifbar
Eine Codeanalyse des BSI förderte Schwachstellen in Nextcloud Server zutage. Unter anderem ließ sich die Zwei-Faktor-Authentifizierung umgehen.

(Bild: dpa, Oliver Berg)
Das MĂĽnchener Unternehmen MGM Security Partners hat die Serveranwendung des Cloudanbieters Nextcloud analysiert und mehrere Schwachstellen gefunden. Angreifer konnten etwa die Zwei-Faktor-Authentifizierung umgehen. Die Untersuchung erfolgte im Auftrag des Bundesamtes fĂĽr Sicherheit in der Informationstechnik (BSI) als Teil des Projektes zur Codeanalyse von Open-Source-Software (CAOS 3.0). Nextcloud wies der Untersuchung zufolge 16 SicherheitslĂĽcken mit hohem Gefahrenpotenzial auf. Die Entwickler haben bereits auf die Schwachstellen reagiert.
Neben der Open-Source-Anwendung selbst untersuchten die Forscher den Quellcode von vier offiziellen Plugins für die Zwei-Faktor-Authentifizierung (2FA). Der Nextcloud-Client für Desktop und Smartphone sowie Erweiterungen von Drittanbietern gehörten nicht zum Umfang der Analyse im Frühjahr 2023. Für insgesamt 43 Schwachstellen erhielten die Kontrolleure eine CVE-ID. Sie überprüften die Korrekturen und bei der Fertigstellung des Ergebnisberichtes im Juli 2024 erfüllten zwei Fixes noch nicht die Anforderungen der Prüfer. Das BSI veröffentlichte den Bericht verzögert, damit die Entwickler die Schwachstellen beheben können.
Nextcloud-Account lieĂź sich trotz 2FA ĂĽbernehmen
Die unter CVE-2024-37313 gemeldete Sicherheitslücke mit hohem Gefahrenpotenzial ermöglichte es Angreifern, die 2FA zu umgehen und einen Account mit ihnen bekannten Zugangsdaten zu übernehmen. Ein Dienst in der Serveranwendung prüft, ob eine Sitzung eine 2FA zum Login benötigt. Mögliche Ausnahmen sind etwa für App-Passwörter vorgesehen. Ein Implementierungsfehler hatte zur Folge, dass die 2FA für alle Sitzungstypen ausgesetzt ist, wenn die Sitzung zur Eingabe des Einmalkennworts abgelaufen ist. Dazu kann der Angreifer abwarten oder eine ungültige Sitzungs-Passphrase versenden.
Eine weitere Lücke erkannten die Prüfer beim Austausch von Dateien zwischen zwei Nextcloud-Instanzen. Aufgrund fehlender Authentifizierungsmechanismen konnte die empfangende Instanz den Eigentümer der Datei seitens der sendenden Instanz nicht überprüfen. Zwar müssen Nutzer eine Anfrage zum Dateiempfang bestätigen. Weil sich Angreifer aber als ein beliebiger Nutzer der sendenden Instanz ausgeben konnten, ließen sich so bösartige Dateien verschicken.
Bereits seit 2021 betreibt das CAOS-Projekt zur Untersuchung von Anwendern und Behörden häufig genutzter Open-Source-Software. Das Ziel ist es, Sicherheitslücken zu finden und den Verantwortlichen mitzuteilen, um so die sichere Entwicklung quelloffener Software zu fördern. Als Teil der Initiative untersuchten BSI und MGM bereits die Passwortmanager KeePass und Vaultwarden sowie die dezentralen Dienste Mastodon und Matrix.
Eine frühere Fassung der Meldung enthielt eine unzutreffende Zusammenfassung einer Lücke in Bezug auf den Einsatz externer Speicher und Passwörtern im Klartext. Die Passage ist gestrichen, Text und Überschrift sind angepasst. Wir bitten, den Fehler zu entschuldigen.
(sfe)