FYI: Schwachstelle bei der Telekom Digitalisierungsbox (Datenleck bei Arztpraxis)

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

22.11.2019, aktualisiert 16:32 Uhr, 3590 Aufrufe, 16 Kommentare, 1 Danke

In vielen kleinen Firmen wird die Digitalisierungsbox der Telekom ( Telekom-Business-Router) für den Internetzugang verwendet. In der Firmware dieser Box gab es aber lange Zeit eine Schwachstelle (Bug bei der Portweiterleitung), die die Infrastruktur hinter der Box aus dem Internet angreifbar macht. Mir ist ein Hinweis auf einen konkreten Fall bekannt, wo eine Infektion mit Petya per SMB-Portfreigaben über diesen Weg statt gefunden haben dürfte.

Patientendaten einer Arztpraxis offen im Netz

Gerade ist bei heise ja ein Newsticker-Beitrag über ein Datenleck bei einer Arztpraxis in Celle publiziert worden. Ein Server war ungeschützt per Internet erreichbar und bis zu 30.000 Patientendaten konnten eingesehen werden. Das ist die eine Seite der Medaille - hätte ich hier nicht weiter thematisiert.

Telekom Digitalisierungsbox mit Schwachstelle

Zu diesem Fall erreichte mich die Mail eines Blog-Lesers, der auf ein grundsätzliches Problem im Telekom-Business-Router hinwies. Seit Jahren enthielt die Firmware der Business-Router (Hersteller Bintec Elmeg) eine Schwachstelle in der Firmware, der bei HTTPS-Portweiterleitungen mehr Firewall-Ports (Ports 80-89 bzw. 440-449) gegenüber dem Internet öffnete als erwartet. In Folge steht auch der Port 445 für SMB-Freigaben offen. Netzwerk-Shares sind dann per Internet zugreifbar.

Es scheint inzwischen ein Firmware-Update zu geben. Wer aber für eine Digitalisierungsbox der Telekom zuständig ist, sollte sich schlau machen (sofern noch nicht bekannt) und den Business-Router beim Arbeitgeber bzw. Kunden auf ungewollte Port-Freigaben/-Weiterleitungen überprüfen. Obwohl ich gerade erfahre, dass die Telekom die Router ihrer Kunden auf offene Ports prüft und ggf. per Brief informiert.

Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox vgwort
Mitglied: 141965
22.11.2019, aktualisiert um 16:43 Uhr
Da kann man nur hoffen das der von den Providern gewünschte Routerzwang der in letzter Zeit wieder aufflammt nicht wieder kommt! Dann hilft wie immer nur noch Router-Kaskade/Bridge-Mode.

Btw.
https://administrator.de/wissen/telekom-digitalisierungsbox-nahm-portfre ...
Bitte warten ..
Mitglied: em-pie
23.11.2019 um 06:43 Uhr
Moin,

spannend wäre ja, ob die be.ip plus Kiste direkt von Bintec gleiches Verhalten aufweist.
Ich vermute mal nein. Daher frage ich mich, weshalb die DTAG dann so einen Mist da rein programmiert (lassen) hat!?

Auch interessant finde ich, dass - so zumindest der DTAG-Sprecher - man nicht eher auf das Problem mit einem Update reagiert hat und stattdessen 6 Monate bis zum Patchen braucht. Da ob man da die Telekom hinsichtlich DSGVO mit zur Kasse bitten kann? Zumindest, wenn es um den Punkt Schadensersatz geht!?

Gruß
em-pie
Bitte warten ..
Mitglied: the-buccaneer
23.11.2019 um 09:13 Uhr
Huiuiui...

Was mich ja brennend interessieren würde: Warum betreibt eine Arztpraxis einen nach aussen offenen Webserver auf der gleichen IP wie ihren PVS Server???
Und wie kann man erklären, dass trotz der sekündlich stattfindenden Portscans irgendwelcher Bots über Monate kein größerer Schaden aufgetreten ist? Oder kommt da noch was? Es wird kaum Logs geben an denen man erkennen könnte, ob und wieviel abgeflossen ist...

Ich mache seit Jahren nach irgendwelchen Freigaben / Portweiterleitungen einen Portscan um mich zu vergewissern, dass ich nix vermurkst habe.
Sollte Best Practice werden...

VG
Buc
Bitte warten ..
Mitglied: lcer00
24.11.2019 um 22:41 Uhr
Hallo,

die schon primär fehlerhafte Idee ist ja die Portweiterleitung an sich. Mir fällt eigentlich kein Grund ein, warum man solche Weiterleitungen einrichten sollte, das Kerngeschäft einer Arztpraxis ist doch sicher nicht Websitehosting.

Zweiter Fehler: Freigaben ohne Sicherheitsbeschränkungen.

Das Dumme ist, das ich sowas durchaus einigen der Ärzte-IT-Systemhäuser zutrauen würde.

Über eine ähnlich risikoreiche Situation kann ich (aus dem Jahr 2007) berichten. Zum Glück gab es keinen Zwischenfall, allerdings einen Systemhauswechsel:

Situation damals: zwei Standorte sollten per RDP verbunden werden - die Lösung:
  • Windows 2003 als Arbeitsgruppenserver ohne AD.
  • Telekom-Router mit Portweiterleitung auf den Praxisserver (ja, der mit den Patientendaten); der Praxisserver war VPN Endpunkt
  • Zu Wartungszwecken war ein Admin-Benutzer „Server“ mit einem ziemlich einfachen Passwort eingerichtet.

Seitdem finde ich es sinnvoll, den Anbieter von Praxissoftware und Infrastruktur zu trennen.

Grüße

lcer
Bitte warten ..
Mitglied: altmetaller
25.11.2019 um 05:32 Uhr
Hallo,

Zitat von the-buccaneer:

Huiuiui...

Was mich ja brennend interessieren würde: Warum betreibt eine Arztpraxis einen nach aussen offenen Webserver auf der gleichen IP wie ihren PVS Server???

SBS2011 (z.B.)

Gruß,
Jörg
Bitte warten ..
Mitglied: VGem-e
25.11.2019 um 07:37 Uhr
Moin,

dann bin ich beim SBS 2011 doch wieder bei EoL seitens Microsoft zum 14.01.2020.

Gruß

VGem-e

(der es persönlich schade findet, dass diese "Wollmilchsau" von MS nicht weiter vertreiben wurde.)
Bitte warten ..
Mitglied: the-buccaneer
25.11.2019 um 22:07 Uhr
Zitat von altmetaller:

SBS2011 (z.B.)

Gruß,
Jörg

Nixraff??? Ich muss doch den SBS nicht ins Netz stellen damit er seinen Dienst tut???

Wenn der schön hinter verschlossenen Türen werkelt kann der noch bis zum Sanktnimmerleinstag betrieben werden.

(Was ich auch niemals empfehlen würde, da gewisse Risiken nicht mehr handhabbar werden, ich weiss...)

Buc
Bitte warten ..
Mitglied: altmetaller
25.11.2019 um 22:46 Uhr
Hallo,

Port 443 fürs OWA.

Ich hänge immer einen Apache davor. Aber das ist sicherlich die Ausnahme.

Gruß,
Jörg
Bitte warten ..
Mitglied: psannz
26.11.2019, aktualisiert um 10:19 Uhr
Zitat von the-buccaneer:

Zitat von altmetaller:

SBS2011 (z.B.)

Gruß,
Jörg

Nixraff??? Ich muss doch den SBS nicht ins Netz stellen damit er seinen Dienst tut???

TCP443 wird beim SBS2011 neben OWA auch für RWA (RDS Gateway) und SSTP verwendet.
Bitte warten ..
Mitglied: lcer00
26.11.2019 um 11:03 Uhr
Hallo,
Zitat von psannz:

Zitat von the-buccaneer:

Zitat von altmetaller:

SBS2011 (z.B.)

Gruß,
Jörg

Nixraff??? Ich muss doch den SBS nicht ins Netz stellen damit er seinen Dienst tut???

TCP443 wird beim SBS2011 neben OWA auch für RWA (RDS Gateway) und SSTP verwendet.
Das ist alles keine Ausrede für das fehlende VPN.

Grüße

lcer
Bitte warten ..
Mitglied: altmetaller
26.11.2019 um 12:11 Uhr
Hallo,

es gibt Gründe, nicht jeden via VPN reinzulassen. Nicht jede Lösung passt auf jedes Szenario.

Gruß,
Jörg
Bitte warten ..
Mitglied: Henere
27.11.2019 um 15:53 Uhr
Wie praktisch, dass selbst dabei noch Fehler auftreten..... nach dem Patchen einen Werksreset, sonst geht es nicht.

https://www.heise.de/security/meldung/Nach-Datenleck-in-Arztpraxis-Weite ...

Nur mit dem neuesten Update geht es dann ohne Reset.

Man merkt immer wieder, dass in den magentafarbenen Köpfen nach wie vor nur braune stinkende Masse vorhanden ist.
Bitte warten ..
Mitglied: the-buccaneer
01.12.2019 um 23:53 Uhr
Zitat von altmetaller:

Hallo,

es gibt Gründe, nicht jeden via VPN reinzulassen. Nicht jede Lösung passt auf jedes Szenario.

Gruß,
Jörg

Ist klar, aber ich würde ja auch nicht mein AD oder meinen Fileserver bei meinem Webhoster betreiben...
Ups.. oder doch? Ist ja modern... Ist ja Cloud... Alles von überall und immer... Supi!!!

In ner Arztpraxis muss höchstens der Doc von Zuhause an die Mails. Da sollte ein VPN wohl machbar sein. Selbst der SBS2011 kann L2TP/IPSec was noch als sicher gilt... Und RDP stellt man ja auch nicht ins Internet ohne weitere Absicherung. Hatten wir hier mal vor kurzem mit den Folgen...

CU
Buc
Bitte warten ..
Mitglied: VGem-e
02.12.2019 um 11:06 Uhr
Servus,

ich habe in einigen Außenstellen auch dieses Gerät stehen, wenn auch nur zur Nutzung für Telefon und Fax.

Kann ich dann, ohne dass ich in jede Außenstelle fahren muss, prüfen, ob die automatischen Updates aktiviert sind? Und dann muss ich mir ggf. auch noch die Zugangsdaten besorgen (Tante G...gle wird hier hoffentlich weiterhelfen).

Gruß
Bitte warten ..
Mitglied: lcer00
02.12.2019 um 11:56 Uhr
Hallo,

das wäre eigentlich an anderes Thema...

ich habe in einigen Außenstellen auch dieses Gerät stehen, wenn auch nur zur Nutzung für Telefon und Fax.

Kann ich dann, ohne dass ich in jede Außenstelle fahren muss, prüfen, ob die automatischen Updates aktiviert sind? Und dann muss ich mir ggf. auch noch die Zugangsdaten besorgen (Tante G...gle wird hier hoffentlich weiterhelfen).

Es gibt 2 Arten von Automatik-Updatefunktionen. Im "Normalfall" löst ein Gerät ein Update selbst aus (per http-Anfrage auf den Updateserver) - entweder manuell oder nach Zeitplan getriggert. Die Telekom-Router haben aber auch noch eine "Push"-Update-Funktion, das heißt der Provider kann sie über einen offenen Port selbst updaten. Dieser offene Port war in der Vergangenheit bereits einmal ein Sicherheitsproblem, der von externen Angreifern missbraucht werden konnte.

Empfehlung:
  • selbst hinfahren und Update manuell einspielen
  • Überprüfen, ob das auch gelungen ist, z.B. mittels Portscan
  • Provider-getriggerte Fernwartung deaktivieren
  • regelmäßig den Updatestand vor Ort überprüfen
  • keinen Fernzugriff auf den Router, außer mittels sicherem VPN aktivieren.

Von aussen kann man mittles Portscans überprüfen, ob das NAT bzw. die Firewall korrekt blockt. Dabei muss man ein paar Dinge beachten, da Portscans unter Umständen illegal sind.

Grüße

lcer
Bitte warten ..
Mitglied: the-buccaneer
05.12.2019 um 04:03 Uhr
Reboot und erneuten Portscan nicht vergessen!

Nochmal über OpenSource nachdenken.

VG
Buc
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs28 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Microsoft
Gespeichertes Eventlog per Powershell durchsuchen
DerWoWussteFrageMicrosoft11 Kommentare

Werte Kollegen! Ich archiviere die Securitylogs des Domänencontrollers jeden Tag. Wenn ich nun etwas im Log von z.B. vorgestern ...

Ähnliche Inhalte
Hosting & Housing
Datenleck bei DomainFactory
magicteddyInformationHosting & Housing22 Kommentare

Lt. Heise gab es einen Einbruch in die Systeme von DomainFactory, ich wollte mich gerade im Forum von DF ...

Router & Routing

Telekom Digitalisierungsbox nahm es mit den Portfreigaben wohl nicht so genau

141965InformationRouter & Routing2 Kommentare

Da stellen sich einem echt die Haare Zitat: " Der Standardport für HTTPS ist 443, laut Zengel gibt der ...

Microsoft

FYI: Windows-Aktivierungsserver derzeit wohl gestört

kgbornInformationMicrosoft5 Kommentare

Kurze Information, falls bei euch irgendwelche Windows 10 Pro Maschinen meinen, sie wären plötzlich Home oder gar nicht mehr ...

Windows 10

FYI: Fristen beim Windows 10 Downgrade-Recht

kgbornInformationWindows 101 Kommentar

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

Hardware

FYI: Akku-Rückruf von HP wegen Brandgefahr (4.1.2018)

kgbornTippHardware6 Kommentare

Wer HP Notebooks und mobile Workstations im Unternehmen verwendet und für deren Administration zuständig ist, auf den dürfte Arbeit ...

Webbrowser

FYI: Firefox sperrt Addons (4. Mai 2019) - Zertifikat abgelaufen

kgbornInformationWebbrowser5 Kommentare

Kurze Info - ist zwar Wochenende - aber falls es einen von euch trifft und Leute mit 'mein Firefox ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT