![\"Stop](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" "\\"Stop")
Die k\u00fcrzlich von Zeit Online aufgedeckten Schwachstellen in WebEx-Systemen der deutschen Regierungsbeh\u00f6rden zieht Kreise. Eine Staatssekret\u00e4rin eines niederl\u00e4ndischen Ministeriums findet es inakzeptabel, dass so etwas passieren konnte. Derweil werden Vers\u00e4umnisse der Verantwortlichen bekannt, und das Wort vom WebEx-Gate macht bereits die Runde. Hier eine Nachbearbeitung dieses Sachverhalts, gleich in Verbindung mit einer \"Leiche im CDU-Keller\".<\/p>\n
<\/p>\n
Es hei\u00dft vom Anbieter: Die Teilnahme an Konferenzen (Meetings) k\u00f6nne \u00fcber alle Browser, Ger\u00e4te und Systeme erfolgen, indem die Teilnehmer einfach einen Anruf annehmen. Das ist sicherlich nicht falsch – aber gelegentlich h\u00e4tte man schon gerne, dass nur ein berechtigtere Personenkreis in Meetings von Regierungen oder der Bundeswehr vertreten ist. Und genau hier scheint es arg gehapert zu haben.<\/p>\n Ich hatte im Beitrag WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr<\/a> dar\u00fcber berichtet, dass bei der Bundeswehr Konferenzlinks monatelang \u00f6ffentlich im Web zug\u00e4nglich waren. Wer den Link kannte, konnte u.U. die Meeting-R\u00e4ume betreten und mith\u00f6ren, was dort besprochen wurde. Da die Meetings \u00fcber fortlaufende Nummern in der URL kodiert wurden, war auch ein erraten weiterer Meetings und Teilnahme an Sitzungen m\u00f6glich. Inzwischen ist das Problem abgestellt, die Konferenzlinks nicht mehr \u00f6ffentlich.<\/p>\n Der zweite Fall betraf deutsche Beh\u00f6rden, die flei\u00dfig WebEx f\u00fcr Meetings einsetzten. Eine Schwachstelle in der Software erm\u00f6glichte Dritten, bei Kenntnis eines Einladungslinks f\u00fcr ein Meeting, durch Manipulation einer Meeting-Nummer, weitere Einladungslinks zu probieren. Journalisten der Zeit konnten bei Recherchen fremde Meeting-R\u00e4ume betreten.<\/p>\n Zeit Online hat dann weiter recherchiert und stellte fest, dass Hunderttausende WebEx-Meetings von Beh\u00f6rden und Unternehmen in Deutschland, den Niederlanden, Italien, \u00d6sterreich, Frankreich, Schweiz, Irland und D\u00e4nemark potenziell \u00f6ffentlich zug\u00e4nglich gewesen sein d\u00fcrften. Es wurde der im Blog-Beitrag Webex-GAU: Potentiell Hundertausende Meetings in Ministerien \u00f6ffentlich zug\u00e4nglich<\/a> beschriebene Mechanismus verwendet, um die Meetings zu identifizieren und sich stichprobenartig dort einzuw\u00e4hlen. Die Schwachstelle ist inzwischen beseitigt.<\/p>\n Ich bin \u00fcber nachfolgenden Tweet<\/a> auf einen zus\u00e4tzlichen Sachverhalt gesto\u00dfen, den Redakteure von Zeit Online in einem weiteren Artikel<\/a> aufgegriffen haben. Staatssekret\u00e4rin Alexandra van Huffelen dr\u00fcckt in einem parlamentarischen Schreiben an Deutschland mit dem Satz \"Ich finde es inakzeptabel, dass das passieren konnte\" aus, dass die niederl\u00e4ndische Regierung \u00fcber den Vorfall sauer ist.<\/p>\n Im Zeit Online-Beitrag ist von massiven Vers\u00e4umnissen der deutschen Verantwortlichen die Rede und das zust\u00e4ndige Bundesinnenministerium steht erneut in der Kritik.<\/p>\n Aus diesen Daten konnte man Informationen ablesen, zum Beispiel wann und wie lange Finanzminister Christian Lindner mit Wirtschaftsminister Robert Habeck telefonieren wollte, hei\u00dft es bei Zeit Online. Die Bundesregierung reagiert auf das Problem bisher \/(gewohnt) abwartend, \"Digitalpolitiker\" Thomas Jarzombek (CDU) sich \"ob der Fahrl\u00e4ssigkeit und der L\u00fccken\" ersch\u00fcttert zeigt. Die Forderung \"Webex muss aus der Regierungskommunikation verbannt werden, und zwar am besten sofort.\"<\/p>\n Nichts ist sch\u00f6ner, als wenn man \"Digitalpolitiker\" vorf\u00fchren kann. Denn die CDU musste gerade feststellen, dass man gehackt worden war – ich hatte im Beitrag Cyberangriff auf das CDU-Netzwerk<\/a> dar\u00fcber berichtet. Von der CDU wurden gleich Superlativer aufgemacht (gr\u00f6\u00dfter Hack auf eine deutsche Partei in der Geschichte). Mutma\u00dflich sollen auch Kalendereintr\u00e4ge von Friedrich Merz \"abgeflossen sein\".<\/p>\n Bei \"Digitalpolitiker\" kommt mir immer \"Digitalkompetenz\" in den Sinn und das Bild vom \"kehren vor der eigenen Haust\u00fcre\". Dazu hatte ich dann im Beitrag Digitalkompetenz und Cybersecurity: Neues vom CDU-Hack & n\u00e4chstes CDU-Datenleck<\/a> was geschrieben – auch bei der CDU gilt \"ob der Fahrl\u00e4ssigkeit und der L\u00fccken\" kann man sich nur ersch\u00fcttert zeigen.<\/p>\n Dank einiger Leserhinweise hatte ich \u00fcber uralte NextCloud-Server der CDU berichtet, die im Schwachstellen \u00fcberfrachtet waren (siehe \u00a0Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Gr\u00fcnen<\/a>). Damals lief der Server mit einer l\u00e4ngst nicht mehr supporteten NextCloud-Version.<\/p>\n F\u00fcr die Nicht-Insider:\u00a0Nextcloud<\/a> ist eine in PHP entwickelte freie Software f\u00fcr das Speichern von Daten auf einem privaten Server. Auf die Daten kann der Anwender sowohl \u00fcber eine Weboberfl\u00e4che als auch mit Client-Applikationen zugreifen. Server und Clients k\u00f6nnen sich dabei synchronisieren.<\/p>\n Die CDU hatte auf meinen Hinweis an deren Presseabteilung den Server offline nehmen lassen, das Paket aktualisiert und dann wieder unter *ttp:\/\/mycloud.cdu.de <\/em>online gestellt. Ich habe zwar nie eine R\u00fcckmeldung der CDU-Pressestelle erhalten. Aber mein Schnelltest mit scan.nextcloud.com<\/a> ergab \"alles fein\".<\/p>\n Aber der Irrsinn l\u00e4sst sich noch steigern: Vor einigen Tagen hat mich Leser Tomas Jakobs per Mail informiert, dass die CDU bei ihren NextCloud-Servern die IP-Adresse des Security-Scanners, den wir zur \u00dcberpr\u00fcfung verwenden, geblockt hat. Da findet man nat\u00fcrlich keine Schwachstellen – das Ganze segelt unter der Kategorie \"Security by Obscurity\".<\/p>\n Ich hatte im Blog-Beitrag BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor f\u00fcr CDU-Hack?<\/a> berichtet, dass das Einfallstor wohl ein Check Point-Produkt mit Sicherheitsl\u00fccken war, was den Angriff erm\u00f6glicht. Ist ja schon fein – war aber eine 0-day-Schwachstelle, die ausgenutzt wurde – kann man nichts machen, oder?<\/p>\n Im Artikel hatte ich angedeutet, dass die Verwendung von Nutzername und Passwort f\u00fcr den VPN-Zugang nicht sehr flott daher kommt und f\u00fcr Phishing anf\u00e4llig macht. Genau dies scheint das Puzzleteil gewesen zu sein, welches die Angreifer brauchten.<\/p>\n Damit die CDU nicht alleine gepr\u00fcgelt vom Hof schleicht, verlinke ich mal obigen Tweet<\/a>, der auf einen Beitrag des MDR mit dem Titel Hackerangriff auf CDU: Auch Systeme in Mitteldeutschland betroffen<\/a> verweist. Ein Experte sagt: \"Ich konnte mit wenig Aufwand insgesamt 85 verwundbare Systeme in Deutschland, 65 in \u00d6sterreich und 19 in der Schweiz finden.\" Da kommt doch Freude auf, nicht?<\/p>\n","protected":false},"excerpt":{"rendered":" Die k\u00fcrzlich von Zeit Online aufgedeckten Schwachstellen in WebEx-Systemen der deutschen Regierungsbeh\u00f6rden zieht Kreise. Eine Staatssekret\u00e4rin eines niederl\u00e4ndischen Ministeriums findet es inakzeptabel, dass so etwas passieren konnte. Derweil werden Vers\u00e4umnisse der Verantwortlichen bekannt, und das Wort vom WebEx-Gate macht bereits … Weiterlesen Wir haben es mit zwei Sicherheitsf\u00e4llen zu tun, bei der die Konferenzsoftware WebEx des US-Unternehmens Cisco, im Einsatz war. Webex<\/a> ist als Software f\u00fcr Web- und Videokonferenzen bei vielen Beh\u00f6rden, Ministerien und auch Firmen im Einsatz. Der Anbieter Cisco Webex<\/a> sieht sich aktuell als die f\u00fchrende Unternehmensl\u00f6sung f\u00fcr Video- und Webkonferenzen. Beworben wird eine sichere softwarebasierte Plattform f\u00fcr Video- und Audiokonferenzen, Gruppennachrichten und Webinare.<\/p>\n
Die Bundeswehr ist nach allen Seiten offen<\/h3>\n
Meetings in Ministerien \u00f6ffentlich zug\u00e4nglich<\/h3>\n
WebEx-Gate schl\u00e4gt Wellen, Partner sauer<\/h2>\n
![](\"https:\/\/i.postimg.cc\/g2qNHb1Y\/image.png\")
<\/a><\/p>\nDie Leiche(n) im CDU-Keller<\/h2>\n
CDU-NextCloud, eine never ending Story<\/h3>\n
![\"Sicherheit](\"https:\/\/i.postimg.cc\/HsByFkvF\/image.png\" "\\"Sicherheit")
<\/a><\/p>\n![\"NextCloud-Server](\"https:\/\/i.postimg.cc\/1X3QtLVP\/image.png\")
<\/a> Lie\u00df mir keine Ruhe, auch auf Grund nachfolgender Kommentare, und ich habe am 16.\u00a0 Juni 2024 erneut einen Scan der CDU-Cloud durchf\u00fchren lassen. Wollte ja sehen, ob der Scanner von der IP ausgesperrt war. War er nicht (mehr), aber mir sprang \"NOT on latest patch level\" ins Auge, mit der Sicherheit hat die CDU-IT es nicht so. Digitalisierung first, Bedenken second, oder was? Das hatte ich aber einer anderen Partei zugeschrieben. Egal.<\/p>\nZur\u00fcck zum CDU-Hack<\/h3>\n
![](\"https:\/\/i.postimg.cc\/nVsqTfNv\/image.png\")
<\/a><\/p>\n