Zwei Drittel der öffentlich erreichbaren Installationen von ownCloud oder dessen Fork Nextcloud sind angreifbar. Ob die eigene Instanz betroffen ist, können Anwender auf einer Website überprüfen.
Von den geschätzt 200 000 ownCloud- und Nextcloud-Installationen weltweit sind etwa zwei Drittel verwundbar. Der Status der eigenen Installation lässt sich seit dem heutigen Montag auf einer eigens dafür erstellten Website überprüfen. Seit Ende Januar verschickt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Warnungen an Betreiber einer veralteten Version. Darin verweist das BSI auf den Security-Scanner von Nextcloud: eine Website, die URLs dahingehend überprüft, welche Software dahinter installiert ist, und die eventuellen Sicherheitsrisiken angibt.
Dem war eine Untersuchung des Nextcloud-Teams vorangegangen. Das hatte eine Liste von etwa 80 000 Installationen der populären Filesharing-Dienste erstellt. Auf dem Firmenblog erläutert das Unternehmen, dass sie über Suchmaschinen, die das Internet regelmäßig scannen, an die Liste gekommen sind. Derzeit läuft auf zwei Drittel der untersuchten Server eine Version, die nicht mehr gewartet wird oder bekannte Sicherheitslücken besitzt.
Das BSI warnt Nutzer
Auslöser für diese Untersuchung war die Erkenntnis, dass viele Nutzer von Nextcloud lange Zeit nach dem letzten Release noch kein Update durchgeführt hatten – gerade Version 11 führt viele neue Sicherheitsfunktionen ein. In der Folge suchte Nextcloud nach weiteren im Internet verfügbaren Instanzen und schaltete schließlich das BSI und dessen Schweizer Pendant SWITCH ein.
Diese wiederum wandten sich an die Betreiber direkt, woraufhin sich die Zahl angreifbarer Installation innerhalb von zehn Tagen um 5 Prozent verringerte. Unter anderem setzten Parteien und internationale Organisationen veraltete Versionen von ownCloud oder Nextcloud ein.
(jab)