Hallo,
ich habe heute einen merkwürdigen Anruf meines ISP erhalten. Hintergrund: ZZt. betreibe ich noch eine Owncloudinstaz auf einem Server an meinem VDSL-Anschluss.
In dem Anruf wurde mir gesagt, dass dass BSI herausgefunden habe, dass meine “Cloud-Lösung” wohl nicht sicher sei. Es handle sich um Nextcloud bzw. Ownlcoud. Der Mitarbeiter war so nett, mir Auszüge aus der Mail weiterzuleiten. Der Text der mir weitergeleitet wurde ist eher allgemein gehalten, und bezieht sich auf eine Sicherheitsmeldung die wohl von Nextcloud herausgegeben wurde. Der Mitarbeiter erwähnte als Absender “CERT-Bund”.
Ich finde das ja höchst merkwürdig, dass sowas bei mir landet. Hat jemand anderes evtl. ähnliche Erfahrungen gemacht? Ein bisschen irritierend ist das ganze schon.
mein ISP hat mich per Mail kontaktiert, ebenfalls mit Informationen vom CERT-Bund BSI, welcher die Scan Ergebnisse von nextcloud erhalten hat. Sprich, nextcloud selbst hat nextcloud/owncloud Instanzen geprüft und hat es vorgezogen die Ergebnisse nicht an die Betreiber weiterzuleiten, sondern an’s BSI.
Leider wurde der Post hier zensiert/gelöscht, was ich persönlich nicht begrüße. Man sollte offen mit den Ergebnissen umgehen und nicht versuchen sie unter den Teppich zu kehren. Ich persönlich würde den Scanner sogar öffentlich anbieten, wie man es z.B von https://www.ssllabs.com/ssltest/index.html oder https://www.magereport.com kennt.
Mir scheint es auch, als ob die ganze Aktion von nextcloud nicht wirklich vorher durchdacht war und mit den Ergebnissen ist erstmal Panik ausgebrochen. Dabei hat nicht nextcloud etwas mit ihrem Produkt verbockt, sondern die Betreiber der Instanzen sind zu nächlässig - da nehme ich mich nicht aus.
Nein, aber sinngemäß war das Posting, daß die Instanzen gescannt wurden und falls man eine Mail diesbezüglich bekommt solle man schnellsten die Updates machen und es nicht groß herumerzählen.
sorry, guys, for privacy and security reasons we’ve been asked not to publicly discuss this. However, you can contact whoever sent you a letter or called you for more information.
In general and on a personal note - if you find your server is running an outdated, vulnerable version of any type of software, I would suggest to upgrade to a stable, supported version. In case of ownCloud and Nextcloud - you can find the latest on https://owncloud.org/changelog and https://nextcloud.com/changelog
Diese Aktion hat bei mir einen faden Nachgeschmack hinterlassen und die offizielle Reaktion hier zeigt, dass man sich dessen durchaus bewusst ist. Professionelle Vorgehensweise und Kommunikation sehen anders aus.
Grundsätzlich finde ich’s ja super dass ihr Owncloud/Nextcloud-Betreiber darauf hinweisen lasst dass sie eine veraltete Version einsetzen und es ist ja auch eine gute Marketingmaßnahme da ja gerade Nextcloud den Fokus besonders auf die Sicherheit legt. Ich verstehe nur nicht warum die ganze Aktion verschwiegen werden soll? Und mich würde sehr interessieren wie ihr meine Owncloud gefunden habt, da ich sie nur privat nutze…?
Ich dachte erstmal, es sei wieder eine der Phising-mails. Also die Authentizität der Mail bei Sender verifiziert. Dass dann aber Nextcloud versucht mittels eines Scans in die Cloudinstanzen einzudringen ist schonmal rechtlich höchst fragwürdig. Wenn man dann aber sich hinter irgendeiner Bund-CERT-Meildung versteckt, die auf den Seiten des BSI nicht zu finden ist, lässt dann doch erhebliche Zweifel an der Redlichkeit dieser Aktion aufkommen. Das Ganze geht zum Staatsanwalt.
Die Tür ist offen, da muss niemand eindringen. /status.php verrät jedem Anfragenden die Versionsnummer und somit, ob sich ein Angriff auf eine veraltete Installation lohnt.
So etwas wurde bei anderen CMS schon vor zehn Jahren abgeschafft.
Das will ich sehen!
Insgesamt aber eine zu hinterfragende Werbeaktion, für die man das BSI eingespannt hat. Hut ab für so viel Dreistigkeit.
Es geht anscheinend weiter. Wir hatten eine alte Owncloud Installation zu Testzwecken auf einem VHost laufen. Heute dann die besagte Mail vom BSI an unseren Provider (die Owncloud Installation gibt es schon lange nicht mehr). Der Vorfall (die Weitergabe der Ergebnisse durch Nextcloud) allein reicht uns schon diese Dienste nicht wieder zu nutzen und andere Anwender zu warnen.
Auch wenn es gut gemeint ist, diese Aktion ging mächtig in die Hose. Vielleicht gibt es ein paar Privatanwender die dadurch zu Nextcloud wechselten, aber im professionellen Bereich sind solche Methoden einfach nicht vertretbar.
Der Gipfel der Frechheit ist die Tatsache, dass nach drei Monaten täglichem Dauerscan und kurzer Pause die Scans nun wieder permanent laufen.
Mein Hoster hat kürzlich schon einmal eine IP-Adresse für alle Kunden wegen derartiger Angriffe gesperrt. Mal schauen, ob sich das wiederholen lässt.
Die Resultate für die ownCloud-Installationen sind inzwischen nicht mehr auf der Statusseite von https://scan.nextcloud.com/. Damit konnte man ausrechnen, dass auf etwa 2/3 der Systeme ownCloud lief.
Ich sehe bei mir jetzt auch einige Scans, auch auf Test-Setups, die ich nie offiziell genutzt habe. Woher kommen die URLs? Mit der IP-Adresse kann man ja speziell für den Scanner eine nette status.php bereitstellen
Vielleicht liegt man mit den Installationen deutlich hinter dem Plan?
Deine Test-Instanzen werden doch mindestens einmal online gewesen sein und nach Hause telefoniert haben sowie Verbindung mit z. B. mit dem App Store gehabt haben? Dass diese Zugriffe ausgewertet werden, liegt doch wohl auf der Hand!
