Nieuws
image

Duitse overheid ontdekt 2FA-lek en andere kwetsbaarheden in Nextcloud

woensdag 5 februari 2025, 15:18 door Redactie, 5 reacties

De Duitse overheid heeft een audit gedaan van de opensourcesoftware van Nextcloud en daarbij meerdere kwetsbaarheden gevonden, waaronder een beveiligingslek dat het mogelijk maakte om de tweefactorauthenticatie te omzeilen. De gevonden problemen zijn inmiddels opgelost. Nextcloud is een oplossing voor het opslaan en delen van bestanden, vergelijkbaar met Dropbox en Google Drive.

Voor het onderzoek keek het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zowel naar de client- als serversoftware van Nextcloud. Een van de problemen betrof de 2FA-implementatie. Nextcloud biedt gebruikers de optie om met 2FA in te loggen. Door het onderscheppen en manipuleren van het 2FA-verificatieverzoek was het mogelijk om de controle te omzeilen. Een aanvaller die alleen over de inloggegevens van een gebruiker beschikte had zo toegang tot het account kunnen krijgen, ook al had de gebruiker 2FA ingeschakeld.

Een ander probleem betrof het uitwisselen van bestanden tussen twee Nextcloud-installaties. Tussen de twee installaties vond geen authenticatie plaats. Wanneer Nextcloud-installatie A een bestand van installatie B ontvangt, kan installatie A niet verifiëren van wie het bestand van installatie B afkomstig is. Een gebruiker van installatie B kan zo een bestand met een gebruiker van installatie A delen en zich daarbij voordoen als een andere gebruiker van installatie B.

Verder ontdekten de onderzoekers een manier om via de applicatie 'External Storage Support' inloggegevens van gebruikers te stelen. Meer gevonden kwetsbaarheden zijn in het openbaar gemaakt auditrapport te vinden. De Duitse autoriteiten rapporteerden alle gevonden problemen aan Nextcloud, waarna de ontwikkelaars met een oplossing kwamen. De audit was onderdeel van een project genaamd Code Analysis of Open Source Software (CAOS). Op deze manier wil de Duitse overheid naar eigen zeggen het vertrouwen in opensourcesoftware vergroten. Eerder werden ook software van Bitwarden, Vaultwarden en KeePass onder de loep genomen.

Reacties (5)
Reageer met quote
Vandaag, 16:30 door Anoniem
Daarom zit mijn nextcloud netjes achter IPsec hier. Je kan gewoon niet verwachten van een vrijwilligersproject dat alles dicht als een kluis zit.
Reageer met quote
Vandaag, 18:16 door Anoniem
Door Anoniem: Daarom zit mijn nextcloud netjes achter IPsec hier. Je kan gewoon niet verwachten van een vrijwilligersproject dat alles dicht als een kluis zit.

Nextcloud is een bedrijf, daarnaast kunnen er vrijwillegers meewerken. Van Microsoft, als voorbeeld van een closed source bedrijf, krijg je maandelijks ook een bak Windows updates van die regelmatig kritieke kwetsbaarheden oplossen die mogelijk ook actief worden misbruikt. Voor Apple geld hetzelfde en dat zal voor de vele andere closed source bedrijven niet anders zijn. Dat je de code niet mag zien en dat het closed source is zegt niets over de code kwaliteit en de kans dat er minder fouten in zitten.
Reageer met quote
Vandaag, 19:47 door Anoniem
Door Anoniem: Daarom zit mijn nextcloud netjes achter IPsec hier. Je kan gewoon niet verwachten van een vrijwilligersproject dat alles dicht als een kluis zit.

Nextcloud gmbh is geen vrijwilligersproject, er werken ongeveer 150 mensen. Wel zouden ze wat meer aandacht mogen besteden aan het het super goed op orde krijgen van de basics in plaats van het moordende tempo waarin ze nieuwe features toevoegen. Zoals filesync, upgraden zonder je installatie te breken (of weer kunnen terug rollen), stabiliteit van add-ons en security.
Reageer met quote
Vandaag, 20:13 door Anoniem
Door Anoniem: Daarom zit mijn nextcloud netjes achter IPsec hier. Je kan gewoon niet verwachten van een vrijwilligersproject dat alles dicht als een kluis zit.
Het meerendeel van de tijd zijn het juist de grote proprietaire projecten die veel lekken, al kan het inderdaad ook gebeuren met vrijwilligersprojecten zoals deze.
Vrijwilligersprojecten (FLOSS-software) is vaak met veel liefde en aandacht gemaakt aangezien er vaak geen winstoogmerk is, daarna patch de community de rest en houd de software up to date)
Doneren is daarom zo belangrijk om projecten bij te kunnen staan hun hoofd boven water te kunnen houden.
Reageer met quote
Vandaag, 20:39 door Anoniem
Door Anoniem:
Door Anoniem: Daarom zit mijn nextcloud netjes achter IPsec hier. Je kan gewoon niet verwachten van een vrijwilligersproject dat alles dicht als een kluis zit.

Nextcloud gmbh is geen vrijwilligersproject, er werken ongeveer 150 mensen. Wel zouden ze wat meer aandacht mogen besteden aan het het super goed op orde krijgen van de basics in plaats van het moordende tempo waarin ze nieuwe features toevoegen. Zoals filesync, upgraden zonder je installatie te breken (of weer kunnen terug rollen), stabiliteit van add-ons en security.

Deels een, anderzijds, ze moeten snel uitrollen willen ze een goed Europees alternatief zijn als tegengewicht van de overdaad aan Amerikaanse oplossingen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure