Durch die Vordertür: Potentielles Einfallstor in das Intranet des Bundestags [Update: SZ korrigiert]

IT im Bundestag. Noch zu retten? Quelle: anonym

Durch die anhaltenden Diskussionen um den Bundestagshack ist das Vertrauen in die Infrastruktur der Institution – freundlich ausgedrückt – erschüttert worden. Nun wird ihr ein weiterer Stoß versetzt.

Eine Analyse der Webseite bundestag.de zeige, dass man von der Webseite aus das Intranet des Bundestags nach Schwachstellen scannen könne, da Rechner im Bundestag sowohl auf das interne als auch das externe Netz zugreifen können. Das erwähnte Kristian Köhntopp vor etwa einer Woche auf Google+:

IRC so: „Dual Homed Bundestag? Oder wie erklärt man sich sonst die Domains?“

Er illustriert seine Aussage mit Shell-Kommandos, unter anderem [Hervorhebung von uns]:

curl -o - http://www.spdfraktion.de | grep pkBaseURL
var pkBaseURL = (("https:" == document.location.protocol) ?
"https://statistics.spd.frak/piwik/" : "http://www.spdfraktion.de/piwik/" );
document.write(unescape("%3Cscript src='" + pkBaseURL + "piwik.js' type='text/javascript'%3E%3C/script%3E"));
J>

Die hervorgehobene URL befindet sich aller Wahrscheinlichkeit nach im Intranet auf den Fraktionsservern der SPD. Einen tatsächlichen Angriff hat Köhntopp unter anderem aus Furcht vor strafrechtlichen Konsequenzen nicht durchgeführt, daher ist die tatsächliche Durchführbarkeit eines Angriffs noch nicht bewiesen, zeigt zumindest aber eine massive Schwachstelle in der Infrastruktur.

Auch Linus Neumann vom CCC ist besorgt:

Ein erfolgreicher Angreifer aus dem Internet erhält damit potenziell Zugang zum internen Netz und auf die internen Inhalte, die der Server dort anbietet.

Update, die Süddeutsche Zeitung korrigiert:

Korrektur: In der ursprünglichen Version lautete die Überschrift „Wie sicher ist Bundestag.de?“ Nach Veröffentlichung des Artikels hat sich Rainer Babiel gemeldet, dessen Unternehmen diese Webseite betreut. Er hat darauf hingewiesen, dass die Systeme, über die die IT-Experten diskutieren, nicht mit Bundestag.de zusammenhängen. Herr Babiel hat Recht. Wir bitten, den Fehler zu entschuldigen. Dass Hacker nach Einschätzung von IT-Experten in das Parlamentsnetz eindringen könnten, ändert sich nicht.

8 Ergänzungen

  1. Politische Institutionen sind durchaus legitime Ziele für Geheimdienste und Co., anders als Otto Normalverbraucher.
    Parteien sollten sich dessen auch bewusst sein und haben die Ressourcen, sich dagegen zu wehren. Es zeugt natürlich von Ignoranz und Inkompetenz, wenn dies nicht der Fall ist.

  2. » Einen tatsächlichen Angriff hat Köhntopp unter anderem aus Furcht vor strafrechtlichen Konsequenzen nicht durchgeführt« Genau genommen hat Kris überhaupt gar nichts durchgeführt, sondern berichtet all dies nur als Bote für einen Dritten, der Sachen herausgefunden hat, aber seinen Namen aus der ganzen Sache raus halten will.

  3. Wie soll denn ein Angriff durchgeführt werden, über einen Hostnamen, der nur durch einen DNS-Server im internen Bundestagsnetz aufgelöst werden kann?

    1. Ja das wüsste ich an dieser Stelle auch gerne mal. XSS auf spdfraktion.de einschleusen ist das eine, von dort auf die internen Hosts von *.frak kommen das andere. Bei G+ erwähnt er ja etwas von wegen SSRF – hat da jemand mehr Infos zu? Ansonsten betrachte ich das hier nämlich gant offensichtlich als unsaubere Panikmache. Wow, eine intern gehostete Piwik-Installation. Sensation!

    2. Der öffentlich erreichbare Host scheint ein Varnish reverse proxy zu sein, wenn der gut gesichert ist, dann ist ein Eindringen nicht trivial. Aber:

      „Wer curl antwortet, der lässt auch sonst viel zu!“ (Alte Bauernregel)

  4. Hhm, ob da Netzpolitik ausnahmsweise Panikmacherei betreibt? Nicht gerade Seriös. Nur weil Zugriff auf ein im Intranet gehostetes Piwik besteht muss nicht heissen das auch auf andere Interne Ressourcen zugegriffen werden kann?

    Stichwort: VLAN z.B.

    1. Interessanter ist die Frage, warum die SPD da in der Welt auf ein internes Logging System verweist, das aus der Welt draussen per .js eigentlich gar nicht getriggert werden kann.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.