Sicherheitslücke: 800 Zugangsdaten waren auf CSU-Webserver auslesbar

Über mehrere Sicherheitslücken konnten Dateien und Datenbanken ausgelesen werden - darunter die Passwörter zum CSU-Intranet und Mailkonten.

Artikel veröffentlicht am ,
Auch Ministerpräsident Markus Söder (CSU) hatte ein schlechtes Passwort.
Auch Ministerpräsident Markus Söder (CSU) hatte ein schlechtes Passwort. (Bild: Lennart Preiss/Getty Images)

Bei der Analyse eines Webservers der CSU konnte der Sicherheitsexperte Heiko Frenzel mehrere Sicherheitslücken entdecken. Über diese konnte er an über 800 Zugangsdaten von CSU-Politikern gelangen, darunter 300 für das Intranet der CSU-Fraktion.

Stellenmarkt
  1. (Senior) Software Developer (m/w/d)
    STABILO International GmbH, Heroldsberg
  2. Test Analyst / Software Test Engineer (m/w/d)
    GK Software SE, Berlin, Chemnitz, Jena, Schöneck, Sankt Ingbert
Detailsuche

Laut einem Blogeintrag konnte Frenzel "zahlreiche Möglichkeiten für Cross-Site-Scripting (XSS)" entdecken. Hinzu komme eine SQL-Injektion, über die er die komplette Datenbank habe auslesen können. In dieser seien die 300 Zugangsdaten für das CSU-Intranet gewesen, deren Passwörter in dem leicht zu knackenden Hashverfahren MD5 vorlagen.

Entsprechend einfach waren die verwendeten Passwörter wie "andi2020" zu erraten. Nicht viel besser soll das Passwort des bayerischen Ministerpräsidenten Markus Söder sei: Es sei nur acht Zeichen lang und auch nicht sonderlich kreativ gewesen, schreibt Frenzel.

Eine Konfigurationsdatei mit Passwörtern zu E-Mail-Konten

Über eine weitere Sicherheitslücke sei eine File-Inclusion beziehungsweise der Download beliebiger Dateien von dem betroffenen Server möglich gewesen, schreibt der Sicherheitsexperte. Neben unzähligem anderen konnte er dort eine Konfigurationsdatei entdecken, die "sämtliche Webseiten der Abgeordneten, samt zugehörigen Zugangsdaten zur Datenbank, sowie zur Verwaltung der E-Mail-Konten des jeweiligen Abgeordneten und teilweise sogar FTP-Zugänge" enthielt. Eine Angreifergruppe hätte letztlich erhebliche Teile der Infrastruktur der CSU übernehmen können.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
Weitere IT-Trainings

Die gefundenen Sicherheitslücken und die insgesamt über 800 Zugangsdaten meldete Frenzel einem Kontakt bei der CSU. Daraufhin seien die Sicherheitslücken zeitnah behoben worden. Die CSU bestätigte der Deutschen Presse Agentur, dass die Sicherheitslücken vor rund vier Monaten gemeldet wurden und der externe Dienstleister diese mittlerweile behoben hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ibsi 05. Nov 2020

mgmga2021 (make german Autobahn Maut great again)

quineloe 05. Nov 2020

Die CSU kann von Glück sagen dass dieser lawful stupid white hat nicht das Postfach vom...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /