Abo
  • Services:

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken

Die CDU nutzt ein uraltes Content-Management-System für eine simple Weiterleitung, die SPD gibt Datenbankpasswörter preis, im Grünen CMS ist eine Apache-Status-Webseite offen einsehbar, Ortsvereine von SPD und FDP werben für Viagra. Um die Sicherheit der Parteien-Webseiten steht es schlecht.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände.
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände. (Bild: ADwarf/Wikimedia Commons)

Angesichts der Diskussionen um Hackerangriffe auf die Bundestagswahl würde man erwarten, dass Parteien in Deutschland besonderen Wert auf die Sicherheit ihrer IT-Infrastruktur legen. Das ist ein Irrtum - wir sind bei den Webauftritten der Parteien auf einige fatale Sicherheitslücken gestoßen.

Drupalgeddon-Lücke bei der CDU

Inhalt:
  1. Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  2. Keine Verschlüsselung mit der CSU

Die Subdomain mitglied.cdu.de macht eigentlich nicht viel. Es handelt sich lediglich um eine Weiterleitung, die Nutzer auf eine Unterseite des Webangebots unter cdu.de schickt. Doch neben einer simplen Weiterleitung haben wir auf der Subdomain noch mehr gefunden: eine Installation des Content-Management-Systems Drupal - Version 7.18. Diese Version wurde 2012 veröffentlicht und seitdem offenbar nicht mehr aktualisiert.

Wenig überraschend hat diese Uraltversion zahlreiche Sicherheitslücken. Im Jahr 2014 gab es in Drupal 7 eine sehr schwerwiegende Sicherheitslücke, die später als Drupalgeddon bekannt wurde. Das Besondere daran ist, dass sie sich relativ einfach ausnutzen lässt und direkt zu einer Remote-Code-Execution führt.

Ob die CDU-Mitglieder-Webseite mit Drupalgeddon angreifbar war, können wir nicht sagen. Möglicherweise handelte es sich nur um Überreste einer nicht mehr funktionierenden Installation. Dass sich diese noch nach Jahren auf der Parteiwebseite befanden, ist aber sicher keine gute Idee. Immerhin: Nach unserem Hinweis an die CDU wurde das Problem schnell behoben.

SPD-Datenbank mit Root-Rechten

Stellenmarkt
  1. FC Basel 1893 AG, Basel (Schweiz)
  2. Landeshauptstadt München, München

Ein Sicherheitsproblem, über das wir schon mehrfach berichtet haben, sind übers Web abrufbare Repositories von Quellcode-Verwaltungssystemen.

Unter der Subdomain plakatspende.spd.de betrieb die SPD eine Seite, auf der sich Parteianhänger im Wahlkampf an der Finanzierung von Wahlplakaten beteiligen konnten. Der Code dieser Seite wird mit Subversion verwaltet - und das komplette Subversion-Repository ist nach wie vor offen im Netz abrufbar, man muss lediglich das Unterverzeichnis .svn aufrufen.

Im Repository sind unter anderem Zugangsdaten für die Datenbank der Webseite zu finden. Besonders bemerkenswert: Der Benutzername für die Datenbank lautet "root".

Die Datenbank einer Webseite mit Administratorrechten des Datenbankservers zu betreiben, ist aus Sicherheitsgründen eigentlich absolut katastrophal. Ein Angreifer, der auf dieser Webseite eine SQL-Injection findet, dürfte damit auch direkt in der Lage sein, den Server gleich ganz zu übernehmen.

Ähnliche Probleme mit offenen Subversion- und Git-Repositories fanden wir auch bei der Linkspartei und bei der FDP.

Datenschutzprobleme bei den Grünen

Zahlreiche Landes- und Kreisverbände der Grünen betreiben ihre Webseiten mit einem System, das als Grünes CMS von der Berliner Firma Newthinking Communications betrieben wird. Damit können die Lokalgruppierungen Webseiten in einem standardisierten Design betreiben.

In der politischen Diskussion legen die Grünen bekanntlich viel Wert auf Datenschutz. Bei den eigenen Webseiten sah das allerdings etwas anders aus: Wir konnten auf diversen lokalen Webseiten, unter anderem beim Landesverband Brandenburg, eine Statusseite des Apache-Webservers abrufen. Dort konnte man die URLs aller Unterseiten sehen, die gerade abgerufen werden. Wir haben die Grünen auf das Problem hingewiesen und kurz darauf wurde der Zugriff auf die entsprechenden Status-Seiten gesperrt.

Offene Status-Webseiten von Apache sind ein weit verbreitetes Problem. Golem.de hatte vor kurzem über ein identisches Problem bei der Suchmaschine Ask.com berichtet.

Keine Verschlüsselung mit der CSU 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. ab 399€
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  3. (reduzierte Überstände, Restposten & Co.)

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Fazit zu Shadow of the Tomb Raider

Wir tauchen mit Lara in der Apokalypse ab und verfassen unser Fazit.

Fazit zu Shadow of the Tomb Raider Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

    •  /