Panama Papers – Gründe gegen WordPress und Drupal?

WordPress und Drupal verantwortlich für die Panama Papers, eines der größten Datenlecks der letzten Jahre? Ja. Deshalb auf die beiden Systeme verzichten? Nein.

Als bekannt wurde, dass einer der umfangreichsten Hacks der letzten Jahre, die Panama Papers, auf Drupal und WordPress zurückzuführen sei, wurde ich natürlich neugierig. Wie konnte das passieren? Lag es an den CMS-Systemen? Schließlich besteht ca. 90% des Geschäfts bei protoSTERN aus Arbeiten an genau den beiden CMS WordPress und Drupal. Muss ich jetzt Kunden davon abraten? Ist es Zeit das Geschäftsmodell zu überdenken? Sollte ich doch eher z.B. auf Concrete5 oder processwire setzen?

Doch es stellte sich heraus: Meine Sorge war unbegründet. Sicher sind weder WordPress noch Drupal perfekt, aber andere Systeme haben auch (teilweise sogar viel gravierendere) Schwächen. Beide Systeme werden bei bekannten Fehlern schnell gefixt.

Trotz des teilweise haarsträubenden Codes bei WordPress gab es bis jetzt noch keine bekannte Sicherheitslücke, welche nicht schnell geschlossen wurde. Und außer dem ‚drupalgeddon‘ mit Drupal-Versionen vor 7.32 (was ein zugegebener schwerer Schlag war) gilt diese Aussage auch für Drupal. Zudem Drupal 8 quasi fast komplett neu geschrieben wurde und nun den wohl saubersten und best getesteten Code in der CMS-Welt hat.

Doch nun zum eigentlich interessanten, wie gelang es so umfassend in das System von Mossack Fonseca einzudringen und an alle Daten zu gelangen? Die folgende Darstellung ist nach Analysen von vielen Sicherheitsfirmen die Wahrscheinlichste:

Wie wurden die Daten gehackt?

Wie so oft führten bei den Panama Papers mehrere Schwachstellen zu einem korrupten System. Die folgenden Ausführungen sind die wahrscheinlich genutzten Angriffsszenarien:

Zugriff zu den E-Mails

  • Die Webseite von Mossack Fonseca basierte auf WordPress, diese war zu dem Zeitpunkt drei Monate veraltet.
  • Als Plugin kam eine der größten Schwachstellen zur Verwendung, das Plugin Revolution Sliders; in einer längst veralteten Version 2.1.7.
  • Von dort aus ist es ein leichtes, Zugang zur WordPress-Seite zu bekommen, von dieser wiederum auf die wp-config.php. In dieser  sind im Klartext (!) die Zugangsdaten zur Datenbank vermerkt.
  • Als weiteres Plugin kam WS_SMPTP zum Einsatz, dies dient dazu E-Mails aus WordPress über einen Mail-Server zu verschicken. Der Schwachpunkt dabei: Dieses Plugin speichert die Zugangsdaten und Login-Informationen unverschlüsselt in der WordPress-Datenbank. Dank der Zugangsdaten zur Datenbank über das Plugin Revolution Slider konnte so durch das Plugin WS_SMPTP Zugang zum Mailserver hergestellt werden.
  • Noch mehr Plugins? Ja, eines noch: ALO Easy Mail Newsletter speichert Informationen zum E-Mail-Server, sie ahnen es schon, unverschlüsselt in der WordPress-Datenbank. Damit ist es problemlos möglich, sich in den Mail-Server einzuloggen und dann Mails per IMAP abzurufen.

Schuld am Datenleck für E-Mails war also nicht WordPress als CMS, sondern leichtfertig programmierte Plugins, keine durchgeführte Updates und mangelhafte Auswahl der verwendeten Plugins.

Zugriff zu Dokumenten

Mossack Fonseca bot ein Kundenportal, in welchem diese Geschäftsvorfälle, Dokumente usw. hochladen konnten. Dieses Kunden-Portal portal.mossfon.com/ lief unter Drupal. Dies jedoch in der mittlerweile sehr alten Version 7.23, in welcher eklatante Sicherheitslücken bekannt geworden sind (‚drupalgeddon‘ als Stichwort, welches erst mit Version 7.32 geschlossen worden ist). So gibt es für diese Version 25 bekannte Sicherheitslücken, inklusiver der Möglichkeit einer  SQL injection. Ein Einbruch in das System war so kinderleicht.

Schuld am Datenleck für Dokumente war also eine nicht gepflegt und aktuell gehaltene Drupal-Installation.

Der Server

  • Der Webserver befand sich hinter keiner Firewall, sondern im selben Netz wie der Mailserver.
  • Er war auch dahingehend konfiguriert, dass er Zugriff zu den Verzeichnissen erlaubte (mangelnde bzw. fehlende .htaccess)
  • Noch dazu das als E-Mail-Server mit Exchange 2010 mit der Möglichkeit der des Outlook Web Access logins, ungepatcht mit der Version von 2009. Der E-Mail-Server wurde also seit 6 Jahren nicht geupdated.

Gründe gegen WordPress und Drupal?

Sind die Panama Papers aus den gehackten Systemen von Mossack Fonseca nun ein Grund auf Drupal oder WordPress zu verzichten? Sicher nicht. Der Mangel lag weniger an den CMS-Systemen, sondern an der mangelnden Pflege der Updates.

Beide Systeme werden durch ihre weite Verbreitung bei bekannt gewordenen Sicherheitslücken schnell gepatcht. Bei weniger verbreiteten CMS-Systemen ist dies oft nicht so gegeben; eben weil es weniger Aufmerksamkeit gibt (durch geringere Verbreitung) oder auch einfach die Manpower für schnelles reagieren fehlt (durch wenige Entwickler).

Sicherheit bei WordPress und Drupal

Im Backend beider Systeme wird prominent angezeigt, wenn das System selbst, verwendete Plugins oder Themes geupdated werden sollten.

WordPress ist dabei besonders einfach: Mit nur einem Klick wird die jeweils aktuelle Version des Systems, Plugins oder Themes automatisch aufgespielt. Dies kann von jedem mit den notwendigen Rechten ohne notwendiges Hintergrundwissen ausgeführt werden, also auch vom Website-Betreiber.

Bei Drupal ist ein Update von Plugins oder Themes genauso einfach, komplizierter wird es aber bei einem System-Update: Aus Drupal selbst kann das System nicht geupdated werden. Entweder muss das System per FTP auf den neuen Stand gebracht werden (auf Dauer zeitaufwändig); oder einfacher über die Drupal-Shell Drush (drush pm-update). In beiden Fällen ist jedoch IT-Wissen notwendig, weshalb reine Seitenbetreiber dies überfordern dürfte.

Aber ich habe doch nur eine Webseite …

Auf Sicherheitsrisiken angesprochen ist oft die Antwort: Was kümmert es mich, ich habe keine Kundendaten oder ähnliches, sondern lediglich eine Webseite. So etwas wie die Panama Papers ist nichts was mich betrifft.

Aber stellen sie sich vor, ihre Webseite wird gehackt, in dem Namen ihres Unternehmens über ihren Server werden dann Millionen von Spam-Mails versendet. Ihre Domain fliegt deshalb aus den Index von Suchmaschinen und ihr vielleicht gutes Ranking bei Google ist dahin. Kein möglicher Interessent findet über Suchmaschinen mehr ihre Seite und ihr Geschäft verliert enorm an Kundschaft. Alles nur Theorie? Dann googeln sie mal wie oft dies schon vorgekommen ist …

Und wer nun denkt allein mit updaten de Systeme sei es getan, den belehrt z.b. die Security-Firma WordFence eines besseren: Auch mit aktuellen Versionen kann mithilfe eines kleine Scripts eine WordPress-Intallation gehacked werden:

 

Konsequenz für Seitenbetreiber

Bei WordPress kann eine gut konfigurierte und durchdachte Seite durch den Seitenbetreiber leicht selbst aktuell gehalten werden. Wie so oft gilt: Weniger ist mehr. Je weniger Plugins sie verwenden, desto geringer ist die Gefahr eines Sicherheitsrisikos. Vorhandene Plugins sollten natürlich immer geupdated werden. Ausserdem sollten sie darauf achten, das genutzte Plugins auch weiterhin vom Programmierer unterstützt und gepflegt werden: Es gibt unzählige Plugins welche kein Update mehr erfahren. In solch einem Fall: Sehen sie sich nach einem anderen aktuellen Plugin um, welches die gleiche funktionaliät erfüllt. Und die Bewertungen auf wordpress.com sagen leider oftmals nur etwas über die Funktion, nichts aber über die Sicherheit des WordPress-Plugins aus.

Anders bei Drupal: Dort sollte ein Mitarbeiter inhouse mit dem nötigen Wissen vorhanden sein oder eine Agentur die Betreuung der Seite übernehmen.

Wir bei protoSTERN bieten selbstverständlich sowohl für WordPress als auch Drupal einen entsprechenden Service, fragen sie einfach unverbindlich an.