Abo
  • Services:

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken

Die CDU nutzt ein uraltes Content-Management-System für eine simple Weiterleitung, die SPD gibt Datenbankpasswörter preis, im Grünen CMS ist eine Apache-Status-Webseite offen einsehbar, Ortsvereine von SPD und FDP werben für Viagra. Um die Sicherheit der Parteien-Webseiten steht es schlecht.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände.
Freiwillig will wohl keine Partei mit Werbung für Viagra und Cialis in Verbindung gebracht werden - wir fanden Spuren eines Hackerangriffs auf FDP- und SPD-Ortsverbände. (Bild: ADwarf/Wikimedia Commons)

Angesichts der Diskussionen um Hackerangriffe auf die Bundestagswahl würde man erwarten, dass Parteien in Deutschland besonderen Wert auf die Sicherheit ihrer IT-Infrastruktur legen. Das ist ein Irrtum - wir sind bei den Webauftritten der Parteien auf einige fatale Sicherheitslücken gestoßen.

Drupalgeddon-Lücke bei der CDU

Inhalt:
  1. Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  2. Keine Verschlüsselung mit der CSU

Die Subdomain mitglied.cdu.de macht eigentlich nicht viel. Es handelt sich lediglich um eine Weiterleitung, die Nutzer auf eine Unterseite des Webangebots unter cdu.de schickt. Doch neben einer simplen Weiterleitung haben wir auf der Subdomain noch mehr gefunden: eine Installation des Content-Management-Systems Drupal - Version 7.18. Diese Version wurde 2012 veröffentlicht und seitdem offenbar nicht mehr aktualisiert.

Wenig überraschend hat diese Uraltversion zahlreiche Sicherheitslücken. Im Jahr 2014 gab es in Drupal 7 eine sehr schwerwiegende Sicherheitslücke, die später als Drupalgeddon bekannt wurde. Das Besondere daran ist, dass sie sich relativ einfach ausnutzen lässt und direkt zu einer Remote-Code-Execution führt.

Ob die CDU-Mitglieder-Webseite mit Drupalgeddon angreifbar war, können wir nicht sagen. Möglicherweise handelte es sich nur um Überreste einer nicht mehr funktionierenden Installation. Dass sich diese noch nach Jahren auf der Parteiwebseite befanden, ist aber sicher keine gute Idee. Immerhin: Nach unserem Hinweis an die CDU wurde das Problem schnell behoben.

SPD-Datenbank mit Root-Rechten

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Ein Sicherheitsproblem, über das wir schon mehrfach berichtet haben, sind übers Web abrufbare Repositories von Quellcode-Verwaltungssystemen.

Unter der Subdomain plakatspende.spd.de betrieb die SPD eine Seite, auf der sich Parteianhänger im Wahlkampf an der Finanzierung von Wahlplakaten beteiligen konnten. Der Code dieser Seite wird mit Subversion verwaltet - und das komplette Subversion-Repository ist nach wie vor offen im Netz abrufbar, man muss lediglich das Unterverzeichnis .svn aufrufen.

Im Repository sind unter anderem Zugangsdaten für die Datenbank der Webseite zu finden. Besonders bemerkenswert: Der Benutzername für die Datenbank lautet "root".

Die Datenbank einer Webseite mit Administratorrechten des Datenbankservers zu betreiben, ist aus Sicherheitsgründen eigentlich absolut katastrophal. Ein Angreifer, der auf dieser Webseite eine SQL-Injection findet, dürfte damit auch direkt in der Lage sein, den Server gleich ganz zu übernehmen.

Ähnliche Probleme mit offenen Subversion- und Git-Repositories fanden wir auch bei der Linkspartei und bei der FDP.

Datenschutzprobleme bei den Grünen

Zahlreiche Landes- und Kreisverbände der Grünen betreiben ihre Webseiten mit einem System, das als Grünes CMS von der Berliner Firma Newthinking Communications betrieben wird. Damit können die Lokalgruppierungen Webseiten in einem standardisierten Design betreiben.

In der politischen Diskussion legen die Grünen bekanntlich viel Wert auf Datenschutz. Bei den eigenen Webseiten sah das allerdings etwas anders aus: Wir konnten auf diversen lokalen Webseiten, unter anderem beim Landesverband Brandenburg, eine Statusseite des Apache-Webservers abrufen. Dort konnte man die URLs aller Unterseiten sehen, die gerade abgerufen werden. Wir haben die Grünen auf das Problem hingewiesen und kurz darauf wurde der Zugriff auf die entsprechenden Status-Seiten gesperrt.

Offene Status-Webseiten von Apache sind ein weit verbreitetes Problem. Golem.de hatte vor kurzem über ein identisches Problem bei der Suchmaschine Ask.com berichtet.

Keine Verschlüsselung mit der CSU 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

benurb 29. Sep 2017

Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft...

shr70 26. Sep 2017

Die V-Partei hatte auch eine sehr ernsthafte Lücke. Wordpress wurde in der neusten...

dantist 22. Sep 2017

Ich war anfangs Mitglied und habe das ganze Elend mitbekommen. Es wurden z.B. mehrfach...

Tantalus 22. Sep 2017

Die CSU offenbar schon: Besonders bemerkenswert: Sogar einen Shop betreibt die CSU ohne...

KuJo 21. Sep 2017

"Dann freu dich aufs Neuland!" (Ist das aktuelle Motto der Piraten) -> https://www...


Folgen Sie uns
       


Intel NUC7 June Canyon - Test

Wir mögen Intels NUC7: Er hat volle PC-Funktionalität in kleinem Formfaktor zu einem niedrigen Preis.

Intel NUC7 June Canyon - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Machine Learning: Wie Technik jede Stimme stehlen kann
    Machine Learning
    Wie Technik jede Stimme stehlen kann

    Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
    Ein Bericht von Felix Lill

    1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
    2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
    3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

      •  /