Im BSI Newsletter wurde heute unter der Überschrift Nextcloud: Zwei-Faktor-Authentifizierung wird bei Angriff umgangen auf eine Reihe von Sicherheitslücken in NextCloud verwiesen, die in einem Beitrag auf Heise mit dem gleichen Titel beschrieben werden. Die Warnung richtet sich an Personen und Einrichtungen, die eine NextCloud selbst betreiben. Dazu gehören auch Schulen, die ihre eigene NextCloud auf eigenen Servern oder bei Dienstleistern hosten. Insgesamt geht es um zwölf Sicherheitslücken, die von NextClouders bereits durch Patches geschlossen wurden. Betroffen sind neben Nextcloud Server und Nextcloud Enterprise Server auch einige Apps wie der Kalender. Vor allem zwei Sicherheitslücken werden als besonders gefährlich beschrieben:
- Erweiterung von Freigabeberechtigungen (CVE-2024-37882): Unbefugte können die Zugriffsberechtigungen für freigegebene Inhalte manipulieren und so unberechtigten Zugriff auf sensible Daten erlangen.
- Umgehung der Zwei-Faktor-Authentifizierung (CVE-2024-37313): Diese Schwachstelle ermöglicht es Angreifern, unter Umständen die zusätzliche Sicherheitsebene der Zwei-Faktor-Authentifizierung zu umgehen und sich mit einfachen Mitteln Zugang zu Benutzerkonten zu verschaffen.
Die beschriebenen Schwachstellen betreffen mehrere Versionen des Nextcloud-Servers. Sie wurden mit den folgenden Versionen gepatcht:
- Nextcloud 26.0.13, 27.1.8, 28.0.4
- Nextcloud Enterprise: 21.0.9.17, 22.2.10.22, 23.0.12.17, 24.0.12.13, 25.0.13.8, 26.0.13, 27.1.8, 28.0.4
Bewertung
Dieser Sicherheitsvorfall macht eines auf jeden Fall deutlich. Schulen, die online erreichbare Plattformen wie NextCloud eigenständig betreiben, müssen bezüglich der Sicherheit immer auf dem aktuellsten Stand bleiben, um Sicherheitslücken, sobald sie bekannt geworden sind, durch Updates zu beseitigen. Auch professionelle Anbieter können keine hundertprozentige Sicherheitsgarantie bieten. Sie sollten jedoch schneller auf Sicherheitslücken reagieren können, da dieses ihr Geschäft ist, während für den Administrator einer Schule die Betreuung einer selbst betriebenen Plattform neben der Haupttätigkeit als Lehrkraft erfolgt.