Abo
  • Services:

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken

Die CDU nutzt ein uraltes Content-Management-System für eine simple Weiterleitung, die SPD gibt Datenbankpasswörter preis, im Grünen CMS ist eine Apache-Status-Webseite offen einsehbar, Ortsvereine von SPD und FDP werben für Viagra. Um die Sicherheit der Parteien-Webseiten steht es schlecht.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände.
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände. (Bild: ADwarf/Wikimedia Commons)

Angesichts der Diskussionen um Hackerangriffe auf die Bundestagswahl würde man erwarten, dass Parteien in Deutschland besonderen Wert auf die Sicherheit ihrer IT-Infrastruktur legen. Das ist ein Irrtum - wir sind bei den Webauftritten der Parteien auf einige fatale Sicherheitslücken gestoßen.

Drupalgeddon-Lücke bei der CDU

Inhalt:
  1. Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  2. Keine Verschlüsselung mit der CSU

Die Subdomain mitglied.cdu.de macht eigentlich nicht viel. Es handelt sich lediglich um eine Weiterleitung, die Nutzer auf eine Unterseite des Webangebots unter cdu.de schickt. Doch neben einer simplen Weiterleitung haben wir auf der Subdomain noch mehr gefunden: eine Installation des Content-Management-Systems Drupal - Version 7.18. Diese Version wurde 2012 veröffentlicht und seitdem offenbar nicht mehr aktualisiert.

Wenig überraschend hat diese Uraltversion zahlreiche Sicherheitslücken. Im Jahr 2014 gab es in Drupal 7 eine sehr schwerwiegende Sicherheitslücke, die später als Drupalgeddon bekannt wurde. Das Besondere daran ist, dass sie sich relativ einfach ausnutzen lässt und direkt zu einer Remote-Code-Execution führt.

Ob die CDU-Mitglieder-Webseite mit Drupalgeddon angreifbar war, können wir nicht sagen. Möglicherweise handelte es sich nur um Überreste einer nicht mehr funktionierenden Installation. Dass sich diese noch nach Jahren auf der Parteiwebseite befanden, ist aber sicher keine gute Idee. Immerhin: Nach unserem Hinweis an die CDU wurde das Problem schnell behoben.

SPD-Datenbank mit Root-Rechten

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. HYDAC INTERNATIONAL GmbH, Großbeeren

Ein Sicherheitsproblem, über das wir schon mehrfach berichtet haben, sind übers Web abrufbare Repositories von Quellcode-Verwaltungssystemen.

Unter der Subdomain plakatspende.spd.de betrieb die SPD eine Seite, auf der sich Parteianhänger im Wahlkampf an der Finanzierung von Wahlplakaten beteiligen konnten. Der Code dieser Seite wird mit Subversion verwaltet - und das komplette Subversion-Repository ist nach wie vor offen im Netz abrufbar, man muss lediglich das Unterverzeichnis .svn aufrufen.

Im Repository sind unter anderem Zugangsdaten für die Datenbank der Webseite zu finden. Besonders bemerkenswert: Der Benutzername für die Datenbank lautet "root".

Die Datenbank einer Webseite mit Administratorrechten des Datenbankservers zu betreiben, ist aus Sicherheitsgründen eigentlich absolut katastrophal. Ein Angreifer, der auf dieser Webseite eine SQL-Injection findet, dürfte damit auch direkt in der Lage sein, den Server gleich ganz zu übernehmen.

Ähnliche Probleme mit offenen Subversion- und Git-Repositories fanden wir auch bei der Linkspartei und bei der FDP.

Datenschutzprobleme bei den Grünen

Zahlreiche Landes- und Kreisverbände der Grünen betreiben ihre Webseiten mit einem System, das als Grünes CMS von der Berliner Firma Newthinking Communications betrieben wird. Damit können die Lokalgruppierungen Webseiten in einem standardisierten Design betreiben.

In der politischen Diskussion legen die Grünen bekanntlich viel Wert auf Datenschutz. Bei den eigenen Webseiten sah das allerdings etwas anders aus: Wir konnten auf diversen lokalen Webseiten, unter anderem beim Landesverband Brandenburg, eine Statusseite des Apache-Webservers abrufen. Dort konnte man die URLs aller Unterseiten sehen, die gerade abgerufen werden. Wir haben die Grünen auf das Problem hingewiesen und kurz darauf wurde der Zugriff auf die entsprechenden Status-Seiten gesperrt.

Offene Status-Webseiten von Apache sind ein weit verbreitetes Problem. Golem.de hatte vor kurzem über ein identisches Problem bei der Suchmaschine Ask.com berichtet.

Keine Verschlüsselung mit der CSU 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 119,90€
  2. 58,99€

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

    •  /