Duitse overheid ontdekt 2FA-lek en andere kwetsbaarheden in Nextcloud
De Duitse overheid heeft een audit gedaan van de opensourcesoftware van Nextcloud en daarbij meerdere kwetsbaarheden gevonden, waaronder een beveiligingslek dat het mogelijk maakte om de tweefactorauthenticatie te omzeilen. De gevonden problemen zijn inmiddels opgelost. Nextcloud is een oplossing voor het opslaan en delen van bestanden, vergelijkbaar met Dropbox en Google Drive.
Voor het onderzoek keek het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zowel naar de client- als serversoftware van Nextcloud. Een van de problemen betrof de 2FA-implementatie. Nextcloud biedt gebruikers de optie om met 2FA in te loggen. Door het onderscheppen en manipuleren van het 2FA-verificatieverzoek was het mogelijk om de controle te omzeilen. Een aanvaller die alleen over de inloggegevens van een gebruiker beschikte had zo toegang tot het account kunnen krijgen, ook al had de gebruiker 2FA ingeschakeld.
Een ander probleem betrof het uitwisselen van bestanden tussen twee Nextcloud-installaties. Tussen de twee installaties vond geen authenticatie plaats. Wanneer Nextcloud-installatie A een bestand van installatie B ontvangt, kan installatie A niet verifiëren van wie het bestand van installatie B afkomstig is. Een gebruiker van installatie B kan zo een bestand met een gebruiker van installatie A delen en zich daarbij voordoen als een andere gebruiker van installatie B.
Verder ontdekten de onderzoekers een manier om via de applicatie 'External Storage Support' inloggegevens van gebruikers te stelen. Meer gevonden kwetsbaarheden zijn in het openbaar gemaakt auditrapport te vinden. De Duitse autoriteiten rapporteerden alle gevonden problemen aan Nextcloud, waarna de ontwikkelaars met een oplossing kwamen. De audit was onderdeel van een project genaamd Code Analysis of Open Source Software (CAOS). Op deze manier wil de Duitse overheid naar eigen zeggen het vertrouwen in opensourcesoftware vergroten. Eerder werden ook software van Bitwarden, Vaultwarden en KeePass onder de loep genomen.
Nextcloud is een bedrijf, daarnaast kunnen er vrijwillegers meewerken. Van Microsoft, als voorbeeld van een closed source bedrijf, krijg je maandelijks ook een bak Windows updates van die regelmatig kritieke kwetsbaarheden oplossen die mogelijk ook actief worden misbruikt. Voor Apple geld hetzelfde en dat zal voor de vele andere closed source bedrijven niet anders zijn. Dat je de code niet mag zien en dat het closed source is zegt niets over de code kwaliteit en de kans dat er minder fouten in zitten.
Nextcloud gmbh is geen vrijwilligersproject, er werken ongeveer 150 mensen. Wel zouden ze wat meer aandacht mogen besteden aan het het super goed op orde krijgen van de basics in plaats van het moordende tempo waarin ze nieuwe features toevoegen. Zoals filesync, upgraden zonder je installatie te breken (of weer kunnen terug rollen), stabiliteit van add-ons en security.
Vrijwilligersprojecten (FLOSS-software) is vaak met veel liefde en aandacht gemaakt aangezien er vaak geen winstoogmerk is, daarna patch de community de rest en houd de software up to date)
Doneren is daarom zo belangrijk om projecten bij te kunnen staan hun hoofd boven water te kunnen houden.
Nextcloud gmbh is geen vrijwilligersproject, er werken ongeveer 150 mensen. Wel zouden ze wat meer aandacht mogen besteden aan het het super goed op orde krijgen van de basics in plaats van het moordende tempo waarin ze nieuwe features toevoegen. Zoals filesync, upgraden zonder je installatie te breken (of weer kunnen terug rollen), stabiliteit van add-ons en security.
Deels een, anderzijds, ze moeten snel uitrollen willen ze een goed Europees alternatief zijn als tegengewicht van de overdaad aan Amerikaanse oplossingen.
Nextcloud gmbh is geen vrijwilligersproject, er werken ongeveer 150 mensen. Wel zouden ze wat meer aandacht mogen besteden aan het het super goed op orde krijgen van de basics in plaats van het moordende tempo waarin ze nieuwe features toevoegen. Zoals filesync, upgraden zonder je installatie te breken (of weer kunnen terug rollen), stabiliteit van add-ons en security.
Deels een, anderzijds, ze moeten snel uitrollen willen ze een goed Europees alternatief zijn als tegengewicht van de overdaad aan Amerikaanse oplossingen.
Er zijn ook aanbieders van nextcloud as a service.
Rollback is niet moeilijk als je CLI access op de server hebt.
( tar terugzetten...). Snapshotting van guest oid.
Opensource Software (CAOS3)
Analyseergebnisse Arbeitspaket 2: „Nextcloud“
19.07.2024, Version 1.0, Status: Final
19.07.2024 is al enige tijd geleden...
Wat je hier dus zegt is dat 95% van de Open Source software niet betrouwbaar is.
Daar maak je hier geen vrienden mee.
"Die Analysen fanden im Zeitraum vom 12.02.2024 bis 16.06.2024 statt."
Als je de bijlage opent uit die BSI pagina, dan zie je de burp bestandsnamen uit 2024:
2024-05-15-Nextcloud-tester-a.burp
2024-05-20-nextCloud-tester-b.burp
Ik kom erop uit dat dit o.a. deze CVE betreft:
CVE-2024-37313
Verder een aantal updates in dependencies en andere code verbeteringen.
Zie:
https://www.cert.europa.eu/publications/security-advisories/2024-061/
On June 14, 2024, Nextcloud released patches for Nextcloud Server and Enterprise Server. A vulnerability was disclosed in Nextcloud server products that allows the bypassing of the second factor of two-factor authentication (2FA) [1,2].
Affected Products
Patched versions of the products are listed below [1,3].
Nextcloud Server: Versions 26.0.13, 27.1.8 and 28.0.4.
Nextcloud Enterprise Server: Versions 21.0.9.17, 22.2.10.22, 23.0.12.17, 24.0.12.13, 25.0.13.8, 26.0.13, 27.1.8 and 28.0.4.
Die Analysen fanden im Zeitraum vom 12.02.2024 bis 16.06.2024 statt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
