Abo
  • Services:
Anzeige
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände.
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände. (Bild: ADwarf/Wikimedia Commons)

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken

Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände.
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände. (Bild: ADwarf/Wikimedia Commons)

Die CDU nutzt ein uraltes Content-Management-System für eine simple Weiterleitung, die SPD gibt Datenbankpasswörter preis, im Grünen CMS ist eine Apache-Status-Webseite offen einsehbar, Ortsvereine von SPD und FDP werben für Viagra. Um die Sicherheit der Parteien-Webseiten steht es schlecht.
Eine Exklusivmeldung von Hanno Böck

Angesichts der Diskussionen um Hackerangriffe auf die Bundestagswahl würde man erwarten, dass Parteien in Deutschland besonderen Wert auf die Sicherheit ihrer IT-Infrastruktur legen. Das ist ein Irrtum - wir sind bei den Webauftritten der Parteien auf einige fatale Sicherheitslücken gestoßen.

Anzeige

Drupalgeddon-Lücke bei der CDU

Die Subdomain mitglied.cdu.de macht eigentlich nicht viel. Es handelt sich lediglich um eine Weiterleitung, die Nutzer auf eine Unterseite des Webangebots unter cdu.de schickt. Doch neben einer simplen Weiterleitung haben wir auf der Subdomain noch mehr gefunden: eine Installation des Content-Management-Systems Drupal - Version 7.18. Diese Version wurde 2012 veröffentlicht und seitdem offenbar nicht mehr aktualisiert.

Wenig überraschend hat diese Uraltversion zahlreiche Sicherheitslücken. Im Jahr 2014 gab es in Drupal 7 eine sehr schwerwiegende Sicherheitslücke, die später als Drupalgeddon bekannt wurde. Das Besondere daran ist, dass sie sich relativ einfach ausnutzen lässt und direkt zu einer Remote-Code-Execution führt.

Ob die CDU-Mitglieder-Webseite mit Drupalgeddon angreifbar war, können wir nicht sagen. Möglicherweise handelte es sich nur um Überreste einer nicht mehr funktionierenden Installation. Dass sich diese noch nach Jahren auf der Parteiwebseite befanden, ist aber sicher keine gute Idee. Immerhin: Nach unserem Hinweis an die CDU wurde das Problem schnell behoben.

SPD-Datenbank mit Root-Rechten

Ein Sicherheitsproblem, über das wir schon mehrfach berichtet haben, sind übers Web abrufbare Repositories von Quellcode-Verwaltungssystemen.

Unter der Subdomain plakatspende.spd.de betrieb die SPD eine Seite, auf der sich Parteianhänger im Wahlkampf an der Finanzierung von Wahlplakaten beteiligen konnten. Der Code dieser Seite wird mit Subversion verwaltet - und das komplette Subversion-Repository ist nach wie vor offen im Netz abrufbar, man muss lediglich das Unterverzeichnis .svn aufrufen.

Im Repository sind unter anderem Zugangsdaten für die Datenbank der Webseite zu finden. Besonders bemerkenswert: Der Benutzername für die Datenbank lautet "root".

Die Datenbank einer Webseite mit Administratorrechten des Datenbankservers zu betreiben, ist aus Sicherheitsgründen eigentlich absolut katastrophal. Ein Angreifer, der auf dieser Webseite eine SQL-Injection findet, dürfte damit auch direkt in der Lage sein, den Server gleich ganz zu übernehmen.

Ähnliche Probleme mit offenen Subversion- und Git-Repositories fanden wir auch bei der Linkspartei und bei der FDP.

Datenschutzprobleme bei den Grünen

Zahlreiche Landes- und Kreisverbände der Grünen betreiben ihre Webseiten mit einem System, das als Grünes CMS von der Berliner Firma Newthinking Communications betrieben wird. Damit können die Lokalgruppierungen Webseiten in einem standardisierten Design betreiben.

In der politischen Diskussion legen die Grünen bekanntlich viel Wert auf Datenschutz. Bei den eigenen Webseiten sah das allerdings etwas anders aus: Wir konnten auf diversen lokalen Webseiten, unter anderem beim Landesverband Brandenburg, eine Statusseite des Apache-Webservers abrufen. Dort konnte man die URLs aller Unterseiten sehen, die gerade abgerufen werden. Wir haben die Grünen auf das Problem hingewiesen und kurz darauf wurde der Zugriff auf die entsprechenden Status-Seiten gesperrt.

Offene Status-Webseiten von Apache sind ein weit verbreitetes Problem. Golem.de hatte vor kurzem über ein identisches Problem bei der Suchmaschine Ask.com berichtet.

Keine Verschlüsselung mit der CSU 

eye home zur Startseite
benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...



Anzeige

Stellenmarkt
  1. ADVITEC Informatik GmbH, Brandenburg, Sachsen, Bayern, Baden-Württemberg
  2. über Hays AG, Celle
  3. über Hays AG, Berlin
  4. BWI GmbH, Hannover


Anzeige
Hardware-Angebote
  1. mit dem Gutscheincode PSUPERTECH
  2. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Datentransfer in USA EU-Datenschützer fordern Nachbesserungen beim Privacy Shield
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

  1. Re: Kann dem jemand mal bitte Gewaltenteilung...

    divStar | 04:12

  2. Re: ich verstehe nicht so ganz

    divStar | 04:04

  3. Re: Jetzt tut mal nicht so als hättet ihr nicht...

    divStar | 03:55

  4. Re: Kippschalter, Mäuseklavier

    divStar | 03:49

  5. Re: ich hätte gerne das recht

    divStar | 03:46


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel