Abo
  • IT-Karriere:

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken

Die CDU nutzt ein uraltes Content-Management-System für eine simple Weiterleitung, die SPD gibt Datenbankpasswörter preis, im Grünen CMS ist eine Apache-Status-Webseite offen einsehbar, Ortsvereine von SPD und FDP werben für Viagra. Um die Sicherheit der Parteien-Webseiten steht es schlecht.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände.
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände. (Bild: ADwarf/Wikimedia Commons)

Angesichts der Diskussionen um Hackerangriffe auf die Bundestagswahl würde man erwarten, dass Parteien in Deutschland besonderen Wert auf die Sicherheit ihrer IT-Infrastruktur legen. Das ist ein Irrtum - wir sind bei den Webauftritten der Parteien auf einige fatale Sicherheitslücken gestoßen.

Drupalgeddon-Lücke bei der CDU

Inhalt:
  1. Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  2. Keine Verschlüsselung mit der CSU

Die Subdomain mitglied.cdu.de macht eigentlich nicht viel. Es handelt sich lediglich um eine Weiterleitung, die Nutzer auf eine Unterseite des Webangebots unter cdu.de schickt. Doch neben einer simplen Weiterleitung haben wir auf der Subdomain noch mehr gefunden: eine Installation des Content-Management-Systems Drupal - Version 7.18. Diese Version wurde 2012 veröffentlicht und seitdem offenbar nicht mehr aktualisiert.

Wenig überraschend hat diese Uraltversion zahlreiche Sicherheitslücken. Im Jahr 2014 gab es in Drupal 7 eine sehr schwerwiegende Sicherheitslücke, die später als Drupalgeddon bekannt wurde. Das Besondere daran ist, dass sie sich relativ einfach ausnutzen lässt und direkt zu einer Remote-Code-Execution führt.

Ob die CDU-Mitglieder-Webseite mit Drupalgeddon angreifbar war, können wir nicht sagen. Möglicherweise handelte es sich nur um Überreste einer nicht mehr funktionierenden Installation. Dass sich diese noch nach Jahren auf der Parteiwebseite befanden, ist aber sicher keine gute Idee. Immerhin: Nach unserem Hinweis an die CDU wurde das Problem schnell behoben.

SPD-Datenbank mit Root-Rechten

Stellenmarkt
  1. Hays AG, Wiesbaden (Home-Office möglich)
  2. Universität Potsdam, Potsdam

Ein Sicherheitsproblem, über das wir schon mehrfach berichtet haben, sind übers Web abrufbare Repositories von Quellcode-Verwaltungssystemen.

Unter der Subdomain plakatspende.spd.de betrieb die SPD eine Seite, auf der sich Parteianhänger im Wahlkampf an der Finanzierung von Wahlplakaten beteiligen konnten. Der Code dieser Seite wird mit Subversion verwaltet - und das komplette Subversion-Repository ist nach wie vor offen im Netz abrufbar, man muss lediglich das Unterverzeichnis .svn aufrufen.

Im Repository sind unter anderem Zugangsdaten für die Datenbank der Webseite zu finden. Besonders bemerkenswert: Der Benutzername für die Datenbank lautet "root".

Die Datenbank einer Webseite mit Administratorrechten des Datenbankservers zu betreiben, ist aus Sicherheitsgründen eigentlich absolut katastrophal. Ein Angreifer, der auf dieser Webseite eine SQL-Injection findet, dürfte damit auch direkt in der Lage sein, den Server gleich ganz zu übernehmen.

Ähnliche Probleme mit offenen Subversion- und Git-Repositories fanden wir auch bei der Linkspartei und bei der FDP.

Datenschutzprobleme bei den Grünen

Zahlreiche Landes- und Kreisverbände der Grünen betreiben ihre Webseiten mit einem System, das als Grünes CMS von der Berliner Firma Newthinking Communications betrieben wird. Damit können die Lokalgruppierungen Webseiten in einem standardisierten Design betreiben.

In der politischen Diskussion legen die Grünen bekanntlich viel Wert auf Datenschutz. Bei den eigenen Webseiten sah das allerdings etwas anders aus: Wir konnten auf diversen lokalen Webseiten, unter anderem beim Landesverband Brandenburg, eine Statusseite des Apache-Webservers abrufen. Dort konnte man die URLs aller Unterseiten sehen, die gerade abgerufen werden. Wir haben die Grünen auf das Problem hingewiesen und kurz darauf wurde der Zugriff auf die entsprechenden Status-Seiten gesperrt.

Offene Status-Webseiten von Apache sind ein weit verbreitetes Problem. Golem.de hatte vor kurzem über ein identisches Problem bei der Suchmaschine Ask.com berichtet.

Keine Verschlüsselung mit der CSU 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 38,99€
  2. 4,60€
  3. 2,99€
  4. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

    •  /