In eigener SacheIT-Sicherheitsvorfall bei netzpolitik.org am Samstag (Update)

Einmal ist immer das erste Mal. Unsere Seite hat am Samstag vorübergehend ein bösartiges Skript ausgeliefert. Wir haben die Seite daraufhin für einige Stunden offline genommen. Hier erklären wir, was wir über den Vorfall wissen und was wir bisher getan haben.

Ein solches Update-Fenster sahen manche Nutzer:innen, als sie am 6. November netzpolitik.org aufriefen. CC-BY 2.0 Screenshot

Am Samstag, den 6. November 2021, lieferte unsere Website ein bösartiges Skript aus, das in manchen Fällen versucht hat, durch Drive-By-Angriffe Nutzer:innen zur Installation von Schadsoftware zu bringen. Wir wollen euch so gut es geht darüber informieren, was passiert ist. Es ist das erste Mal, dass so etwas in den siebzehn Jahren, in denen wir das aktuelle System fahren, passiert ist.

Wir gehen derzeit davon aus, dass das Problem im Laufe des späten Nachmittags aufgetreten ist. Nachdem uns Hinweise von Leser:innen erreicht haben, nahmen wir unsere Seite vorübergehend offline. Es gab ein bösartiges Skript, das manchen Leser:innen beim Besuch der Seite ein Fenster anzeigte, dass sie vermeintlich ihren Browser aktualisieren sollen. Diese Fenster haben auf Websites weitergeleitet, auf denen Schadsoftware verteilt wird. Soweit wir wissen, betraf das Windows-Nutzer:innen, die Seiten waren auf die jeweils verwendeten Browser Chrome und Firefox angepasst.

Falls ihr gestern unsere Seite besucht und aktiv ein solches Fake-Update heruntergeladen und installiert habt: Checkt schnellstmöglich euer System! Laut Hinweisen von Leser:innen haben übliche Virenscanner vor der Datei beim Besuch der Seite gewarnt. Ob noch weitere Schritte notwendig sind, können wir erst angeben, wenn wir mehr über die Schadsoftware wissen. Wir nehmen auch gern Hinweise entgegen.

Vorübergehend offline genommen

Nach unserem aktuellen Erkenntnisstand konnte das Skript durch ein Plugin unseres Redaktionssystems WordPress auf die Seite gelangen. Wir arbeiten weiter daran, die genaue Ursache zu finden. Soweit wir das momentan erkennen können, wurden keine personenbezogenen Daten wie E-Mail-Adressen von Artikel-Kommentator:innen ausgelesen oder verändert. In unserem WordPress werden die beim Kommentieren angegebene Mailadresse und eine gekürzte, pseudonymisierte IP-Adresse der kommentierenden Person vorgehalten. Wir untersuchen das aber näher und werden euch entsprechend informieren.

Update, 9. November: Wir mussten mittlerweile feststellen, dass theoretisch die Möglichkeit bestand, dass E-Mail-Adressen abgegriffen werden konnten. Wir konnten aber in unseren Auswertungen und Logs keinerlei Hinweise darauf finden, dass dies tatsächlich passiert ist. Wir wollen euch dennoch darüber informieren. Das betrifft unsere Newsletter-Abonnent:innen und Kommentator:innen. Bei letzteren trifft der Hinweis teilweise auch auf vorgehaltene, pseudonymisierte IP-Adressen zu. Wie versprochen werden wir nach Abschluss unserer Untersuchungen eine detailliertere Beschreibung des Vorfalls nachliefern.

Das bösartige Skript war auf das WordPress-System begrenzt, das bei uns von anderen Systemen strikt getrennt ist. Es sind keine Daten von Spender:innen oder von anderen Systemen abgeflossen.

Auf WordPress begrenzt

Die Seite ist seit Sonntag 1:30 Uhr wieder online, das bösartige Skript ist entfernt. Wir suchen weiter nach den genauen Ursachen, werden unsere Sicherheitsmaßnahmen evaluieren und halten euch auf dem Laufenden. Wir wollen auch mit solchen unangenehmen Vorfällen so transparent wie möglich umgehen. Wir haben ihn außerdem sowohl der Berliner Datenschutzbehörde als auch dem BSI gemeldet.

Wir danken unseren aufmerksamen Leser:innen, die uns schnell Hinweise geschickt haben, dass etwas nicht in Ordnung ist. Besonders danken wir unseren IT-Menschen Mark und Jocca für ihren Einsatz und die schnelle Reaktion am Samstagabend!

32 Ergänzungen

    1. Ob wir darauf jemals eine Antwort bekommen? Auch nur eine klitzekleine?
      Vermutlich gab es in den Anfängen von Netzpolitik.org anno dunnemol keine so große Auswahl wie heute. Ich kenne das Problem, bei einer Software hängen geblieben zu sein, weil man schon zu viel Arbeit in das Projekt gesteckt hat und eine Umstellung dann nicht mehr als sinnvoll erachtet wird.

      Aber anlässlich solcher Ereignisse stellen sich immer ganz grundsätzliche Fragen. Und es gäbe schon bessere Alternativen in freier Software mit genehmer Lizenz.

      Aber wollen wir uns das wirklich antun? Das Fixen mit einer neuen Instanz ging schnell.

      Welche Vorteile hätten wir mit Lösung xyz?

      Welcher Zeitaufwand wäre für eine Umstellung nötig? Termin 1. April 2022?

      Auch wenn die Software „frei“ ist, was würde uns die Umstellung kosten, außer Nerven?

      Und ganz wichtig: Was hat uns schon immer genervt bei WordPress? Das könnte den Ausschlag geben.

      1. In den Jahren der Entwicklung, besonders vor 2010, kam die Diskussion schon immer wieder vor.

        Plone wurde relativ früh eine absage erteilt. Bei plone hatte ich auch den einzig anderen Fall (in fast 20 Jahren) der diesen ähnelt und/aber mit hilfe der BSI (!) relativ schnell beheben können.

        Die Firma newthinking, derzeit Träger von netzpolitik.org (vor 2014/15), hatte auch Drupal und Typo3 in Betrieb. Bei der Erfahrung wurden auch die als ungeeignet eingestuft. Die frage um Drupal kam 2017 noch mal vor und wurde wieder abgelehnt.

        Weitere CMS System (manche auf Basis von Django, manche in Erlang) kommen immer wieder in Frage.

  1. wordpress ist beliebt bei crackern, das ist nicht neu.
    JavaScript ist boese, auch das ist nicht neu.

    Glueckwunsch, dass es so lange gut gegangen ist – und hoffentlich haelt sich der Schaden in Grenzen.

    Aber vielleicht ist das ja ein Anlass Hippe Featureitis und kritischen Geist in eine bessere Balance zu bringen…

  2. Wir können noch nichts zum plugin oder nicht plugin berichten da auch:
    1. neulich eingebaute libs
    2. Client XXS
    und so weiter noch in Betracht, kamen, kommen.

    Dies, aber ist eine neu aufgesetzte Instanz und wir durchkämmen die alte Leiche. Wir berichten bald sollten wir Erkenntnisse haben die hilfreich wären.

  3. Kommentare vor Veröffentlichung bzw. Ablehnung lesen zu können, könnte auch aufschlussreich sein. Oder schlimmer(?): unveröffentlichte alte. Man könnte versuchen, mittels Textanalyse Zuordnungen zu treffen, oder falls man an Sessions und IPs herankommt weiteres.

    Das Ausliefern von Malware mal als Ablenkung betrachtet.

  4. gerade bei netzpolitik.org hätte ich mehr Fingerspitzengefühl und mehr Knowhow vermutet und nicht damit gerechnet, dass man ein ranzige WordPress einsetzt. WordPress ist dafür bekannt. Mit soviel Glück, wie in den vergangenen 17 Jahren solltet Ihr aber nicht rechnen und schleunigst WordPress in die Tonne werfen. Wenn Ihr das System wechselt, kann ich auch mal wieder über eine Spende nachdenken.

    1. @mv

      zitat:
      „Nach unserem aktuellen Erkenntnisstand konnte das Skript durch ein Plugin unseres Redaktionssystems WordPress auf die Seite gelangen.“

      ein plugin hat dazu geführt und nicht das cms wordpress!. also erst lesen, dann beurteilen und dann wieder spenden. *ggg

    2. Warum sollte ein funktionierendes und aktuelles System durch ein anderes System ersetzt werden, welches ebenfalls gecrackt werden kann?🤔 WordPress ist das derzeit verbreitetste System, welches einfach anzupassen und auch zu sichern ist! Wirklich sicher ist jedoch kein System, das gilt für sämtlich Betriebssysteme wie auch für *alle* anderen eingesetzten Programme. Wenn selbst große Konzerne nicht davor gefeit sind, wie soll daß dann bei kleinen Organisationen funktionieren?

      Mike, TmoWizard

    3. In einem sinne gebe ich ihnen Recht. Plug-ins die zu Groß sind um selber einen Audit durchzuführen sollte man nicht einsetzten. Hmm. Was that Captain Obvious? Das war vielleicht meine Überheblichkeit. netzpolitik.org hat jetzt aber nicht nur einen, yes 1, teilzeit admin, sondern zwei. Wir werden immer bessr.

  5. Das nicht schlimmeres passiert ist, ist wohl auch dem Umstand geschuldet, dass die Webseite auch ohne JavaScript funktioniert. Dieses schalte ich auch nur zum Posten ein. Man kann noch so quer denken , wie man möchte, aber Skripte, ob sie Werbung ausspielen oder anderes vereinfachen, sind immer gefährlich, daher habe ich das fast nie an. Dadurch habe ich das wohl auch nicht mitbekommen,

    1. Dass (mit 2 „s“) mir nichts passiert ist, dürfte daran liegen, dass ich
      1. ausschließlich mit Linux surfe, und
      2. in meinem LAN etliche als böswillig bekannte Domains gesperrt habe und direkten Zugriff auf numerische IP-Adressen ebenfalls sperre. Die Sperrliste in der Fritzbox und/oder ein Pi-Hole leisten das. Der bösartige Code muss ja von irgendwoher nachgeladen werden. – Falls ein direkter IP-Zugriff einer Netzwerk-Anwendung wirklich notwendig ist, dann erlaube ich ihn. Bei neuen Anfragen prüfe ich immer erst mit Whois, wer dahintersteckt, bevor ich mich für freigeben oder gesperrt lassen entscheide.
      In den dreißig Jahren, die ich jetzt computere (früher mit Windows), habe ich in meinem Netzwerk mit mehreren Nutzern (etwas Windows, überwiegend Linux) noch nie einen Schädling gehabt, nicht einen einzigen! NoScript und Brain 0.99 helfen sehr gut. :-)

  6. Tipp an die IT-Abteilung: WordFence
    Kennt ihr WordFence, benutzt es gar schon? Wenn nicht: dringende Empfehlung!
    Meine WP-Site habe ich mit WordFence abgesichert. Das finde ich super, schon in der kostenlosen Ausgabe. Es erlaubt einen strengen und sicheren Schutz vor Angriffen. Derer beobachte ich allerhand, von Login-Versuchen über XSS, SQL-Injection oder Versuche von bösartigen Uploads. WordFence schmettert sie, richtig eingestellt, alle ab. Den Administrator-Login habe ich natürlich 2FA abgesichert. In den acht Jahren, in denen ich die Site online habe, gab es zigtausende Angriffsversuche, davon keinen einzigen erfolgreichen.

  7. Leute, das ist eine Zwischenüberschrift: „Auf WordPress begrenzt“. Das irritiert mich sehr, es erst nach dem Absatz zu lesen, zu dem es gehört.

  8. Schaut euch doch mal Contao an. Vorwiegend Deutsche Community, deutlich weniger bekannt gewordene Lücken als alles was hier genannt wurde, einfach zu bedienen, schnell, kann das was ihr hier braucht out of the box und dank Symfony einfach zu erweitern.

    Mit WordPress kann man nicht glücklich werden…

  9. Sicher macht WordPress probleme.
    Da ihr euch klugerweise dafür entschieden habt, dass diese Seite für Leser auch OHNE JAVASCRIPT benutzbar ist, ist das kein ganz so grosses Problem.

    Der Torproject-Blog macht gerade das Gegenteil und drängt zum Benutzen von Discourse.

  10. Liebes Netzpolitik.org-Team,
    bitte lasst uns wissen, welches Plugin hier zum Einschleusen des Schadcodes genutzt wurde und welche Web-Application-Firewall ihr im Einsatz hattet, die das nicht verhindern konnte.
    Das wäre Transparenz, die ihr so oft von anderen einfordert. Und wir könnten sehen, ob es tatsächlich eine unbekannte Sicherheitslücke war oder einfach nur bei den Updates geschlampt wurde…

    1. Lieber Florian,

      wir werden selbstverständlich so schnell wie möglich transparent machen, was genau passiert ist. Wir können das leider derzeit noch nicht tun. Bitte habe Verständnis dafür. Wir haben selbst ein großes Interesse daran, Euch allen so genau und so schnell wie nur möglich den Vorfall transparent zu machen.

          1. Es ist sehr schade, dass es hier noch immer kein Update gibt. Vermutlich hat das juristische Gründe, was dann aber andererseits verständlich ist.

        1. Wie lange noch? Angesichts der langen Wartezeit habe ich Zweifel daran, dass es überhaupt beabsichtigt ist noch weiteres bekannt zu geben. Vermutlich handelt es sich um ein peinliches Eigenversagen, worüber man lieber schweigen will.

  11. Ich bin neu hier und finde euch toll.
    Lobenswert sind eure Reaktionen in den Kommentaren.
    Das gefällt mir sehr gut.

    Kopf hoch und weiter machen :)

    1. Wir hatten einen alten config Befehl im haproxy der, vor Anwendung von TLS 1.3, 1.2 forcierte. Der, jedoch, ’stapled to 1.2′. Und somit griffen die ’ssl-min-ver‘ befehle. Nicht. Hat etwas gedauert bis ich dahinter kamm. Jetzt ist auch TLS 1.3 im Programme.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.