Wie sicher sind Österreichs Parteien?

19. September 2019

Die Sec-Research GmbH wurde 2015 in Österreich von Sebastian Bicchi gegründet und widmet sich ausschließlich dem Gebiet der Informationssicherheit. Unsere Erfahrung im Bereich Penetrationtesting und Red Team Assessment hilft uns IT-Systeme bereits mit passiv gewonnen Daten -wie in diesem Fall- oberflächlich einzuschätzen. Zu unseren Kunden zählen neben KMUs auch die größten Konzerne Österreichs.

Es handelt sich hierbei nicht um einen “Gratis Sicherheitstest” – die erwähnten Schwachstellen sind lediglich nur Auszüge der augenscheinlichen Sicherheitsprobleme!
Das Ausnutzen der hier gelisteten Sicherheitsprobleme ist strafbar und dieser Artikel soll keinerlei Aufforderung darstellen diese Schwachstellen auszunutzen!

Der ÖVP Hack – Anlass zur Sorge?

Der Hack der ÖVP hat in den letzten Wochen großes Aufsehen erregt, immer noch gehen die Wogen im Wahlkampf hoch. Doch wie sicher sind Österreichs Parteien?
Wir haben uns die IT der Parteien ÖVP, SPÖ, FPÖ, Grüne, Neos und Liste Jetzt angesehen.
Von Aussen und ohne Beauftragung.
Daher gelten für uns einige Einschränkungen: Ohne eine Permission-to-Attack dürfen wir nur passive/nicht-invasive Tests durchführen und wir dürfen keinerlei Schwachstellen ausnutzen, die uns tatsächlich Zugriff auf Daten oder Systeme gegeben hätten. Es ist also viel mehr eine “oberflächliche Momentaufnahme” als ein vollständiges Assessment.

Abbildung Red-Team Phasen

OSINT und Scanning

Jedoch auch mit diesen Einschränkungen können wir aufgrund unserer Erfahrung und unzähligen durchgeführten Penetrationtests und Red Team Assessments bereits eine ungefähre Aussage treffen. Wie in unserem Blogartikel 6 Gründe warum Unternehmen gehackt werden beschrieben, gibt es einige Angriffspunkte auf Organisationen – auch solche, die wir ohne tatsächliches Eindringen finden. So haben wir folgende Punkte in unsere Evaluierung einfließen lassen:

  • Wie groß ist die Angriffsfläche?
    • Gibt es viele Subdomains und wie sind diese organisiert?
    • Welche Services und Interna finden wir?
    • Lassen sich veraltete oder verwaiste Systeme finden, die nicht mehr gepflegt werden?
  • Sind die IT Systeme dem ersten Eindruck nach gehärtet?
    • Geben Server Header vollständige Versionsnummern aus?
    • Sind anonyme Anmeldungen deaktiviert?
  • Welche Software wird verwendet und lassen sich bereits auf den ersten Blick Schwachstellen finden?
    • Finden wir für die verwendeten Versionen fertige Exploits (also Programme zum Ausnutzen der Schwachstellen)?
  • Welche Services sind im Internet erreichbar? Wird überall TLS (also zum Beispiel HTTPS statt HTTP) verwendet? Nicht geschützte Web-Seiten sind für die Besucher eine Gefahr, interne nicht geschützte Webseiten können zum Abgreifen von Passwörtern oder anderen Authentifzierungsmerkmalen missbraucht werden (Session, 2-FA, etc.).

Methodik und Grenzen der äußeren Betrachtung

Diese Betrachtung von außen schließt zwei wichtige Säulen der IT-Sicehrheit aus: Menschen und Prozesse. Wir können keine Aussage über interne Prozesse treffen, ebenso wenig versenden wir aktiv Phishing Mails oder testen die Awareness der Mitarbeiter.
Auch handelt es sich hierbei um kein vollumfängliches Assessment – es ist ein erster Eindruck, jedoch mit handfesten, technischen Fakten.
Es gilt das Prinzip: Wenn wir Schwachstellen entdecken, ist dies eine Gefährdung. Entdecken wir keine Schwachstellen, bedeutet dies jedoch nicht, dass keine existieren. Aufgrund der technischen, zeitlichen und rechtlichen Einschränkungen ist es schlicht nicht möglich ein vollständiges Bild zu erhalten.

Zusammenfassung der Ergebnisse

Bei sämtlichen Parteien wurden mehr oder minder schwere Sicherheitslücken gefunden. Einige könnten ausgenutzt werden um die IT Systeme direkt (ohne Benutzerinteraktion) anzugreifen, andere benötigen Nutzerinteraktion. In diesem Test hatte die SPÖ den größten “technical debt” (also die größte Angriffsfläche), allerdings wurde die Analyse der SPÖ auch durch den bekannten, auf die SPÖ registrierten Netzbereich enorm erleichtert, daher kann dieser Anschein trügen. Da die ÖVP bereits einige Systeme abgeschaltet hat, fällt hier eine Gesamtbeurteilung schwer. Am besten schnitt die Liste Jetzt ab, bei der ein Eindringen ohne Benutzerinteraktion und nur aus dem Internet sehr schwierig erscheint. Die Liste Jetzt besitzt auch die geringste Angriffsfläche. Die FPÖ überraschte, die eine geringe Erstangriffsfläche (gemessen an ihrer Größe) auf Ihrer Hauptdomain ausfwies. Im Mittelfeld liegen Grüne und Neos, die eine durchwegs ansehnliche Angriffsfläche besitzen, wobei bei den Grünen einiges auf eingestellte Projekte und daraus resultierenden, vergessenen Systemen hinweist. Die Neos überraschten mit einer großen Anzahl an Systemen und Services, die aus dem Internet erreichbar waren. Zusammengefasst wundert es uns, dass bisher nicht mehr Angriffe durchgeführt wurden – oder diese wurden nur noch nicht entdeckt. Wenn die Informationssicherheit essentiell für eine funktionierende Demokratie ist, so sollten alle Parteien zügig nachbessern.

Ergebnisse im Detail

Folgend sind die Auszüge der Ergebnisse im Detail beschrieben.

ÖVP

Info: Aufgrund des Hacks hat die ÖVP anscheinend einige Systeme vorübergehend abgeschaltet und wir konnten diese Systeme nicht erreichen. Es ist nicht auszuschließen, dass hier Sicherheitslücken vorhanden sind oder waren.

Angriffsfläche

Die ÖVP hat einen großen Teil ihrer Systeme in ihrer Hauptdomain oevp.at eingebunden, wie in der Map von DNSDumpster zu sehen ist:

DNSDumpster Map der Domain oevp.at

Für einen Angreifer ist dies in zunächst einen Vorteil, da so mögliche Angriffsziele so leichter auffindbar sind. Andererseits spricht dies für eine zentral gewartet IT (im Gegensatz z.B. zur FPÖ), die in der Regel Seiten und Appliaktionen schneller bzw. koordinierter updaten und gleiche Sicherheitsmaßnahmen für mehrere Domains gleichzeitig einziehen könnte. Eine Kompromittierung einer Subdomain bedeutet jedoch nach dem Same-Origin-Prinzip unter Umständen eine Gefährdung für andere Subdomains, wenn Sicherheitsfeautures (wie CSP) nicht verwendet werden.

Gefundene Systeme

Nach dem Hack ist die ÖVP offenbar dazu übergegangen Systeme vom Netz zu nehmen. So konnten wir einige (für uns interessante) Systeme nicht auffinden bzw. ansprechen, unter anderen:

  • nextcloud.oevp.at (193.187.10.243): Nicht erreichbar
  • webapa.oevp.at (193.187.8.9): Nicht erreichbar
  • thompson.oevp.at (193.187.8.4): Nicht erreichbar

Aufgrund der gespeicherten Server Header lässt sich die Vermutung anstellen, dass es sich hier jedenfalls um nicht aktuelle Server-Software mit bekannten Schwachstellen handelt. Dass diese Systeme vom Netz genommen wurden zeigt, dass offenbar hohes Misstrauen herrscht und man versucht die Angriffsfläche zu reduzieren. Die noch existierenden DNS Einträge zeigen, dass das System entweder durch eine Firewall vom Netz getrennt oder ganz abgeschaltet wurde.

Weiterhin auffindbar waren jedoch folgende Systeme, die nach wie vor eine Angriffsfläche bieten, zum Beispiel:

  • exchg.oevp.at: Ein Web-Outlook – ideal für Angreifer um Credentials zu testen (gehostet von alpha-medien.at, welche offenbar ausschließlich für die ÖVP hosten)
  • ktn-cloud.oevp.at/index.php/login: Eine Nextcloud Instanz
  • Lokale Seiten: Eine größere Menge lokaler ÖVP Seiten sind noch erreichbar
  • cmsnoe-gemeinden.oevp.at: TYPO3 Backend für Gemeinde-Seiten, TYPO3 Version veraltet

Im Allgemeinen zeichnet sich das Bild einer recht großen Angriffsfläche. Eine dem Anschein nach fragmentierte und große IT-Landschaft mit vielen Systemen und schnell vom Netz genommene Server weisen auf einen derzeitigen (verständlichen) Panik-Modus hin. Besser wäre es jedoch, Maßnahmen zu treffen, bevor etwas passiert.

Schwachstellen / Konfiguration / Härtung

Während der Durchsicht der ÖVP Systeme fanden wir eine Menge an Schwachstellen, die Angriffe über das Internet oder im lokalen Netzwerk ermöglichen. Die Folgenden sollen hier nur auszugsweise genannt werden:

  • Kein durchgängiges TLS (Klassifizierung: Hoch): Viele Seiten der ÖVP sind ohne TLS konfiguriert. Das bedeutet, dass ein Angreifer im lokalen Netz, zum Beispiel in einem öffentlichen W-Lan die Inhalte verändern und auch den Verkehr mitlesen kann. So wäre es möglich in einem öffentlichen W-Lan (z.B. im Zug) eine Phishing Seite einzuspielen oder via Sideloading eine Schadsoftware zu platzieren. Ebenfalls ohne korrekten TLS Schutz sind die Seiten der CMS Verwaltung der ÖVP, zum Beispiel cmsnoe-gemeinden.oevp.at. Diese leiten den Benutzer zwar auf eine TLS gesicherte Seite (‘https://’), jedoch ohne HSTS. So kann ein Angreifer (im lokalen Netzwerk) diese Umleitung einfach umgehen und Zugangsdaten abgreifen.
  • Veraltete Systeme (Klassifizierung: Hoch): Viele Systeme -auch wenn einige nicht mehr erreichbar sind- weisen veraltete Software Versionen auf. So ist das TYPO3 System der Gemeinden-Seiten der ÖVP auf dem Stand von 2015 (TYPO3 4.5). Veraltete Server-Versionen mit bekannten Schwachstellen stellen eine schwere Sicherheitslücke dar, da öffentliche Exploits verfügbar sind. Für einen Angreifer stellt dies ein gefundenes Fressen dar – die Ausnutzung der Schwachstellen ist in solchen Fällen meist trivial.
  • Keine durchgängige Härtung (Klassifizierung: Mittel): Während die Hauptdomain/Webseite gehärtet erscheinen (wobei auch hier noch Server-Versionen und Software ersichtlich sind: IIS 8.5 und ASP.NET) sind viele Subdomains nicht gehärtet. Insbesondere die abgeschalteten Systeme zeigen die genaue (teilweise stark veraltete) Serverversion, FTP wird (unverschlüsselt) verwendet und viele Sicherheitseinstellungen sind suboptimal oder schlicht nicht vorhanden.
Zusammenfassung

Ein versierter Angreifer hätte durchaus viele Angriffsmöglichkeiten und wahrscheinlich leichtes Spiel. Veraltete Systeme, kein durchgängiger TLS Schutz und eine große Systemlandschaft bieten unzählige Angriffsmöglichkeiten. Wir empfehlen die IT umgehend umfassend zu prüfen und auf einen aktuellen Stand zu bringen.

SPÖ

Die SPÖ bietet noch mehr Angriffsfläche und ein stärker zentriertes System als die ÖVP.

Angriffsfläche

Ähnlich der ÖVP sammelt die SPÖ viele Sub-Organisationen unter einer Domain. Jedoch geht die SPÖ noch einen Schritt weiter und besitzt auch ein eigenes Netz – AS33917 registriert auf die ‘Sozialdemokratische Partei Oesterreichs (Austria)’. Die DNSDumpster Map wird hier bereits unübersichtlich:

DNSDumpster Map der Domain spoe.at

Es ergibt sich das Bild einer großen Angriffsfläche und einer zentral gewarteten IT bzw. auch stark zentralisierten IT – dies kann wie erwähnt ein Vorteil sein, man muss ihn nur nutzen.

Gefundene Systeme

Anders als bei der ÖVP waren die meisten Systeme erreichbar. Auszugsweise erwähnen wir hier einige beosnders bemerkenswerte Services/Systeme:

  • ireds2.spoe.at: Ein Redaktionssystem bzw. CMS. Mit entsprechenden Credentials (zum Beispiel aus Leaks) könnten hier Inhalte verändert werden
  • webmail.noe.spoe.at: Eine Webmail Zugang über ein Horde-System. Auch via HTTP erreichbar und für Angreifer eine Möglichkeit interne Informationen einfach abzugreifen (E-Mails, Logins)
  • bundesparteitag2018.spoe.at: Für den Parteitag 2018 eingerichtete Seite, noch immer erreichbar, Serverversion veraltet
  • Jede Menge PLESK Seiten: Viele Seiten scheinen ‘vergessen’ und mit dem einst aufgesetzten System belassen zu sein – ein guter Einstiegspunkt für Angreifer
  • pop3.noe.spoe.at: Hosts für den POP3 Zugriff auf Mails, ebenfalls ungesichert (ohne TLS / Verschlüsselung)

Das Bild einer sehr großen Angriffsfläche ergibt sich. Offenbar vergessene und verwaiste Systeme wären ein Fest für Angreifer. Aufgrund der Nutzung eines eigenen AS (autonomen System) ist die Analyse mittels shodan.io sehr einfach. Auch hier ist ersichtlich, dass es unzählige Services gibt:

Shodan Report der Services im SPÖ Netzwerkbereich
Schwachstellen / Konfiguration / Härtung

Während der Durchsicht der SPÖ Systeme fanden wir eine Menge Schwachstellen, die Angreifern über das Internet oder im lokalen Netzwerk Angriffe ermöglichen. Hier sollen diese nur auszugsweise genannt werden:

  • Kein durchgängiges TLS (Klassifizierung: Hoch): Viele Seiten der SPÖ sind ohne TLS konfiguriert. Das bedeutet, dass ein Angreifer im lokalen Netz, zum Beispiel in einem öffentlichen W-Lan die Inhalte verändern und auch den Verkehr mitlesen kann. So wäre es möglich in einem öffentlichen W-Lan (z.B. im Zug) eine Phishing Seite einzuspielen oder via Sideloading eine Schadsoftware zu platzieren. Ebenfalls ohne korrekten TLS Schutz sind die Webmail Zugänge der SPÖ, zum Beispiel webmail.noe.spoe.at.
  • Veraltete Systeme (Klassifizierung: Hoch): Mittels Shodan wurden veraltete PLESK Verwaltungsinterfaces der SPÖ gefunden, zum Beispiel unter https://194.145.177.35:8443. Diese Softwareversionen sind stark veraltet und weisen viele Sicherheitslücken auf. Für diese Version gibt es beispielsweise bereits fertig Exploits, die mittels weniger Klicks ausgeführt werden können. So könnte ein Angreifer bereits einen ersten Zugriff auf Systeme der SPÖ erhalten. Auch wurden Tomcat Server in veralteter Version und mit aktivierter Management/Demokonsole gefunden.
  • Unsichere Protokolle: Die SPÖ setzt offenbar noch unsichere Protokolle wie POP3 ein. Das würde Angreifern das Abgreifen von Interna ermöglichen, wenn sich die Angreifer im selben Netz befinden.
  • Keine durchgängige Härtung (Klassifizierung: Mittel): Während die Hauptdomain/Webseite gehärtet und zusätzlich via Cloud-Services gesichert erscheinen sind viele Subdomains nicht gehärtet oder gesichert.

Plesk Server in Version 9.5 der SPÖ
Zusammenfassung

Auch die Systeme der SPÖ sind offenbar breitflächig angreifbar. Die genannten Sicherheitsprobleme sind nur ein Auszug um ein ‘big Picture’ zu erhalten. Versierte Agngreifer hätten wahrscheinlich ein leichtes Spiel – ein Nachbesserung wird unbedingt empfohlen!

FPÖ

Anders als bei den bisher beleuchteten Kandidaten SPÖ und ÖVP sammelt die FPÖ ihre Unterorganisationen offenbar nicht unter Ihrer Hauptdomain. Doch auch hier wurden wir fündig.

Angriffsfläche

Die Subdomains der FPÖ und damit die Angriffsfläche sind vergleichsweise gering. Die DNSDumpster Map ist übersichtlich und lässt darauf schließen, dass die FPÖ entweder auf eine verteilte IT setzt oder ihre internen Services unter einer anderen Domain sammelt:

DNSDumpster Map der Domain Fpoe.at

Die Angriffsfläche erscheint im ersten Moment geringer – jedoch gilt dies nur für die Hauptdomain. Nach einer kurzen OSINT Recherche finden sich zahlreiche Einzeldomains mit weiteren untergeordneten Systemen.

Gefundene Systeme

Die (wenigen) auf der Hauptdomain gefundenen Systeme hielten eine Überraschung bereit:

  • audio.fpoe.at: Dieses System ist via RDP (Remote Desktop Protocol) erreichbar – ein Windows Server auf dem auch die angemeldeten Benutzer erscheinen
  • mail.fpoe.at: Ein eher weniger verbreitetes Mail-System (CommuniGate)

Zu dem RDP System kann eine Verbindung aufgebaut werden:

RDP Server auf audio.fpoe.at

Doch kann die FPÖ mit einem 1/10 der Systeme bzw. Subdomains wie ÖVP und SPÖ auskommen? Obgleich sie eine ähnliche Größe hat? Die Antwort lautet ‘Nein’, die Systeme sind nur anders verteilt. So sind eine Menge Systeme und Seiten in eigene Domains ausgelagert, zum Beispiel:

  • fpoe-stmk.at: Die Hauptdomain für die FPÖ Steiermark
  • dropbox.fpoe-stmk.at: Ein Dropbox Login für die FPÖ Steiermark
  • fpoe-weiz.at: Die Hauptdomain für die FPÖ Weiz
  • test.fpoe-weiz.at: Eine Test-Seite der FPÖ Weiz
  • partei.fpoe-ooe.at: Veraltetes TYPO3 System

Auch entzieht sich die FPÖ einer schnellen Analyse durch Verwendung von Wildcard Zertifikaten, bei denen die Subdomains nicht direkt ersichtlich sind. Allgemein ist der erste Eindruck, einer der eine reduzierte Angriffsfläche zeigt. Jedenfalls hätte ein Angreifer durchaus mehr Arbeit bei der Identifikation der Domains und Services.
Dies birgt jedoch auch Gefahren: So sind Phishing Seiten für Angreifer effektiver, wenn es kein zentrales Domainkonzept gibt. Bei unzähligen Hauptdomains wäre es für Angreifer einfach eine Domain zu erfinden und zu registrieren. Ein Angreifer könnte zum Beispiel die Domain fpoe-oesterreich.at registrieren und so Phishingversuche starten.

Schwachstellen / Konfiguration / Härtung
  • RDP Zugang ohne Netzwerk Authentifizierung (Klassifizierung: Hoch): RDP Server ohne Netzwerklevel Authentifizierung, bzw. RDP Server am Internet sollten vermieden werden.
  • Kein durchgängiges TLS (Klassifizierung: Hoch): Viele Seiten der FPÖ (oder ihrer Suborganisationen) sind ohne TLS konfiguriert. Das bedeutet, dass ein Angreifer im lokalen Netz, zum Beispiel in einem öffentlichen W-Lan die Inhalte verändern und auch den Verkehr mitlesen kann. So wäre es möglich in einem öffentlichen W-Lan (z.B. im Zug) eine Phishing Seite einzuspielen oder via Sideloading eine Schadsoftware zu platzieren.
  • Veraltete Systeme (Klassifizierung: Hoch): Wie bei den anderen Parteien auch, fanden wir veraltete Systeme, die bereits Sicherheitslücken aufweisen. Diese befinden sich jedoch eher bei den einzelnen Landesorganisationen, als zentral unter der Hauptdomain.
  • Verteiltes Domainkonzept (Klassifizierung: Mittel): Viele unterschiedliche Domains erleichtern Phishingangriffe.
  • Allgemeine Härtung/Reduktion der Angriffsfläche (Klassifizierung: Mittel): Eine allgemeine Tendenz zur Härtung ist erkennbar, auch wenn Systeme weiterhin ihre genaue Version preisgegeben.
Zusammenfassung

Vermutlich durch den hohen Angriffsdruck oder durch ein anderes IT-Konzept ergibt sich bei der FPÖ eine anderer Ersteindruck: Die Angriffsfläche der Hauptdomain ist zwar vergleichsweise klein, auf den Domains der Unterorganisationen bietet sich aber ein ähnliches Bild wie bei den anderen Organisationen. Offene RDP Services ohne Netzwerklevelauthentifzierung sind ein relativ hohes Risiko. Aber auch hier gilt: Ein Angreifer muss nur einmal richtig liegen – der Verteidiger immer. Das dezentrale Domainkonzept erleichtert zudem Phishingangriffe und birgt die Gefahr, dass Systeme zu vergessen.

Neos

Unter der Hauptdomain ‘neos.eu’ sammeln die Neos ihre IT-Infrastruktur. Interessanterweise konnten sie in ihrer vergleichsweise (im Gegensatz zu ‘alten’ Parteien) kurzen Laufbahn eine große Menge an Systemen anhäufen.

Angriffsfläche

Unüblich für eine junge Organisation, aber durchaus üblich für ein dynamisches Team sind die zahlreichen Web-Appliaktionen und Subdomains. In der Angriffsfläche hinken die Neos den ‘alten’ Parteien ÖVP und SPÖ nicht hinterher.

Gefundene Systeme

Die Anzahl der Subdomains der Neos und damit die Angriffsfläche sind vergleichsweise groß. Die DNSDumpster Map ist jetzt bereits gut gefüllt:

DNSDumpster Map der Domain neos.eu

Unter anderem wurden folgende Systeme und Services gefunden:

  • insights.neos.eu: Ein Server mit aktiviertem RDP Service, allerdings mit aktivierter Netzwerklevelauthentifzierung. Dadurch ist es anders, als beispielsweise beim RDP Service der FPÖ Server, nicht möglich sich zu verbinden und danach anzumelden – die Anmeldung muss vor dem Verbindungsaufbau passieren.
  • otrs.neos.eu: Ein Ticketing System (OTRS) der Neos
  • jira.neos.eu: Jira, ein Projektmanagement Tool von Atlassian. Interessant ist hier für einen Angreifer, dass die Software ebenfalls über Port 8080 erreichbar ist und bekannte Schwachstellen aufweist, da die Version veraltet ist (Version 6.3.7, September 2014 ).
  • web2.neos.eu: Ein Webserver, der die Standard-Installations-Seite zeigt, dass dieser nicht (richtig) gehärtet wurde. Auch werden hier vollständige Serverversionen ausgegeben.
  • oberoesterreich-staging.neos.eu: Staging (also eine Test) Umgebung der Neos Website.

Weiters wurden Eigenentwicklungen (Neos Lab Bibliothek) und Webmailzugänge (Outlook Webmail) gefunden.

Schwachstellen / Konfiguration / Härtung
  • Kein durchgängiges TLS (Klassifizierung: Hoch): Einige Seiten der Neos sind ohne TLS konfiguriert. Das bedeutet, dass ein Angreifer im lokalen Netz, also zum Beispiel in einem öffentlichen W-Lan, die Inhalte verändern und auch den Verkehr mitlesen könnte. So wäre es möglich in einem öffentlichen W-Lan (z.B. im Zug) eine Phishing Seite einzuspielen oder via Sideloading eine Schadsoftware zu platzieren. Ebenfalls ohne korrekten TLS Schutz sind einige (vermutlich) vergessene Seiten, zum Beispiel wahlauftakt.neos.eu.
  • Veraltete Systeme (Klassifizierung: Hoch): Wie bei den anderen Parteien auch, fanden wir veraltete Systeme, die bereits Sicherheitslücken aufweisen. Inbesondere Web-Applikationen wie Jira (s.o.) sollten regelmäßig geupdatet werden. Für diese Jira Version gibt es bekannte Schwachstellen, mit denen sich Daten abgreifen lassen (zum Beispiel Attachments) oder auch Server Side Request Forgery Angriffe durchführen lassen
  • Allgemeine Härtung/Reduktion der Angriffsfläche (Klassifizierung: Mittel): Eine allgemeine Tendenz zur Härtung ist erkennbar, jedoch wurde diese nicht vollständig bzw. durchgehend umgesetzt.
  • Test-Umgebungen im Internet (Klassifizierung: Mittel): Die Neos beistzen (ähnlich wie andere Parteien auch) über das Internet zugängliche Test- und Entwicklungsumgebungen. Diese Umgebungen sollten nach Möglichkeit nur intern oder mit zusätzlichem Schutz (TLS Client Authentifzierung/IP Adressen Filterung/…) im Internet zugänglich sein.
  • RDP Zugang mit Netzwerk Authentifizierung (Klassifizierung: Mittel/Gering): RDP Server zeigen immer wieder Schwachstellen, wie beispielsweise BlueKeep. Mit einer Netzwerklevelauthentifzierung ist dies jedoch meistens weniger problematisch. Auch wird der Server in diesem Fall von Microsoft selbst gehostet bzw. betrieben, daher kann hier von einem aktuellen Patchstand ausgegangen werden.

Als Beispiel ist folgend die veraltete JIRA Webapplikation im Internet abgebildet:

Veraltete JIRA Webapplikation der Neos
Zusammenfassung

Auch die (relativ) jungen Neos haben bereits eine große Angriffsfläche aufgebaut. Wie bei den anderen Parteien auch, wurde keine durchgängige Härtung durchgeführt, Systeme nicht geupdated und kein durchgehender TLS Schutz eingezogen. Ein Test und eine Härtung der Systeme wird dringend empfohlen.

Liste Jetzt

Die jüngste und kleinste Liste Jetzt hat keine ausgeprägten, umfassenden IT-Systeme. Dennoch konnten wir ein paar Schwachstellen finden.

Angriffsfläche

Die Liste Jetzt hat unter ihrer Hauptdomain “partei.jetzt” gerade 4 Systeme, die auffindbar sind. Darunter ist der “Innenhof” (innenhof.partei.jetzt) und “Daten” (daten.partei.jetzt) neben der Hauptseite. Über die Zertifikatssuche mittels crt.sh lässt sich noch eine Entwicklungsseite für innenhof.partei.jetzt finden, unter der Adresse dev.innenhof.partei.jetzt.

Gefundene Systeme

Handlich, mit der geringsten Angriffsfläche fällt auch die DNSDumpster Map der Liste Jetzt aus:

DNSDumpster Map der Domain partei.jetzt

Zu den gefundenen Systemen gehören:

  • innenhof.partei.jetzt: Eine durch Anmeldung geschützte Web-Applikation – offenbar eine Eigenentwicklung, Details konnten im Schnelltest nicht gefunden werden
  • dev.innenhof.partei.jetzt: Augenscheinlich die Enwicklungs/Test-Umgebung für die Innenhof Anwendung
  • daten.partei.jetzt: Eine Nextcloud Instanz

Als Beispiel ist folgend die Owncloud der Liste Jetzt zu sehen:

Über HTTP erreichbarer Login der Owncloud
Schwachstellen / Konfiguration / Härtung

Trotz der kleinen Anzahl an Systemen und der geringen Angriffsfläche konnten wir auch hier Sicherheitsprobleme ausmachen:

  • Kein durchgängiges TLS (Klassifizierung: Hoch): Die Nextcloud der Liste Jetzt ist auch ohne TLS erreichbar und leitet auch nicht auf die TLS geschützte Seite um, obwohl diese verfügbar ist. Das bedeutet, dass ein Angreifer im lokalen Netz, zum Beispiel in einem öffentlichen W-Lan die Inhalte verändern und auch den Verkehr mitlesen kann. So wäre es möglich in einem öffentlichen W-Lan (z.B. im Zug) eine Phishing Seite einzuspielen oder via Sideloading eine Schadsoftware zu platzieren.
  • Test-Umgebungen im Internet (Klassifizierung: Mittel/Gering): Die Liste Jetzt hat eine Test-/Entwicklungsumgebungen ihrer (vermutlichen) Eigenlösung “Innenhof” im Internet verfügbar, jedoch mit zusätzlicher Sicherheit (eventuell IP-Sperre). Die nicht-TLS geschützte Seite dev.innenhof.partei.jetzt zeigt die Standard Instalaltionsseite von Apache, was auf eine fehlende Härtung hinweist.
Zusammenfassung

Wenig Angriffsfläche und Systeme sind bei der Liste Jetzt erkennbar, sie schneidet insgesamt am besten ab. Hier muss jedoch gesagt werden, dass die meisten Fehler “im Laufe der Zeit” entstehen, weil zusätzliche Systeme installiert werden, Altinstallationen vergessen und mit zunehmender Zahl an Mitarbeitern auch die Chance auf geleakte Credentials steigt. Nichtsdestotrotz konnten wir auch hier einige, wenn auch kleinere, Schwachstellen ausmachen.

Grüne

Bei den Grünen fokusierten wir uns in der Analyse auf die Hauptdomain gruene.at .

Angriffsfläche

Die Angriffsfläche der Grünen entspricht in etwa der der Neos, jedoch konnten wir hier mehr veraltete oder verwaiste Systeme finden. Dies ist eine typische “Alterungserscheinung” der IT, da im Laufe der Zeit auf die Systeme bzw. deren Abschaltung vergessen wird.

Gefundene Systeme

Die DNSDumpster Map der Grünen ist im Umfang vergleichbar mit dem der Neos:

DNSDumpster Map der Domain gruene.at

Neben den klassischen Webseiten konnten wir einige besonders interessante Ziele ausmachen:

  • comcon.gruene.at: Ein phpBB Forum mit augenscheinlich veralteter Version (Fingerprinting/Scan wurde nicht durchgeführt)
  • gablitz.gruene.at:8080: Eine Installation der Alfresco Community Software, veraltet (vermutlich 2017)
  • listen.gruene.at: Mailing-Listen Software, Sympa 6.1.11 mit bekannten Schwachstellen
  • helpdesk.gruene.at: Eine Helpdesk Applikation von OSTicket, diese sollte vermutlich abgelöst werden, da unter helpdesktest.gruene.at eine andere Helpdesk Software platziert wurde
  • helpdesktest.gruene.at: Vermutlich die neue, geplante Helpdesk Software
  • crm.gruene.at: Ein Customer Relations Management System, vermutlich Marke Eigenbau

Als Beispiel ist folgend die PHPBB Installation der Grünen abgebildet:

phpBB der Grünen unter comcon.ggruene.at
Schwachstellen / Konfiguration / Härtung

Ähnlich wie bei den anderen Parteien leidet die IT der Grünen unter den auch anderswo gefundenen Schwachstellen: Kein durchgängiges TLS, veraltete und verwaiste Systeme und eine relativ große Angriffsfläche.

  • Veraltete Systeme (Klassifizierung: Hoch): Wie bei den anderen Parteien auch, fanden wir veraltete Systeme, die bereits Sicehrheitslücken aufweisen. Inbesondere Web-Applikationen wie phpBB (s.o.) sollten regelmäßig geupdatet werden.
  • Kein durchgängiges TLS (Klassifizierung: Hoch): Einige Seiten der Grünen sind ohne TLS konfiguriert. Das bedeutet, dass ein Angreifer im lokalen Netz, zum Beispiel in einem öffentlichen W-Lan die Inhalte verändern und auch den Verkehr mitlesen kann. So wäre es möglich, in einem öffentlichen W-Lan (z.B. im Zug) eine Phishing Seite einzuspielen oder via Drive-by-Download eine Schadsoftware zu platzieren. Ebenfalls ohne korrekten TLS Schutz sind einige Loginseiten, zum Beispiel comcon.gruene.at.
Zusammenfassung

Auch bei den Grünen würde ein versierter Angreifer eine relativ große Angriffsfläche vorfinden. Die veralteten Softwareversionen und fehlendes TLS würden bereits einige Angriffe denkbar machen. Zudem scheint es, dass einige Projekte (z.B. Helpdesk Erneuerung) abrupt abgebrochen wurden.