Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FYI: Schwachstelle bei der Telekom Digitalisierungsbox (Datenleck bei Arztpraxis)

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

22.11.2019, aktualisiert 16:32 Uhr, 1807 Aufrufe, 16 Kommentare, 1 Danke

In vielen kleinen Firmen wird die Digitalisierungsbox der Telekom ( Telekom-Business-Router) für den Internetzugang verwendet. In der Firmware dieser Box gab es aber lange Zeit eine Schwachstelle (Bug bei der Portweiterleitung), die die Infrastruktur hinter der Box aus dem Internet angreifbar macht. Mir ist ein Hinweis auf einen konkreten Fall bekannt, wo eine Infektion mit Petya per SMB-Portfreigaben über diesen Weg statt gefunden haben dürfte.

Patientendaten einer Arztpraxis offen im Netz

Gerade ist bei heise ja ein Newsticker-Beitrag über ein Datenleck bei einer Arztpraxis in Celle publiziert worden. Ein Server war ungeschützt per Internet erreichbar und bis zu 30.000 Patientendaten konnten eingesehen werden. Das ist die eine Seite der Medaille - hätte ich hier nicht weiter thematisiert.

Telekom Digitalisierungsbox mit Schwachstelle

Zu diesem Fall erreichte mich die Mail eines Blog-Lesers, der auf ein grundsätzliches Problem im Telekom-Business-Router hinwies. Seit Jahren enthielt die Firmware der Business-Router (Hersteller Bintec Elmeg) eine Schwachstelle in der Firmware, der bei HTTPS-Portweiterleitungen mehr Firewall-Ports (Ports 80-89 bzw. 440-449) gegenüber dem Internet öffnete als erwartet. In Folge steht auch der Port 445 für SMB-Freigaben offen. Netzwerk-Shares sind dann per Internet zugreifbar.

Es scheint inzwischen ein Firmware-Update zu geben. Wer aber für eine Digitalisierungsbox der Telekom zuständig ist, sollte sich schlau machen (sofern noch nicht bekannt) und den Business-Router beim Arbeitgeber bzw. Kunden auf ungewollte Port-Freigaben/-Weiterleitungen überprüfen. Obwohl ich gerade erfahre, dass die Telekom die Router ihrer Kunden auf offene Ports prüft und ggf. per Brief informiert.

Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox vgwort
Mitglied: voucher
22.11.2019, aktualisiert um 16:43 Uhr
Da kann man nur hoffen das der von den Providern gewünschte Routerzwang der in letzter Zeit wieder aufflammt nicht wieder kommt! Dann hilft wie immer nur noch Router-Kaskade/Bridge-Mode.

Btw.
https://administrator.de/wissen/telekom-digitalisierungsbox-nahm-portfre ...
Bitte warten ..
Mitglied: em-pie
23.11.2019 um 06:43 Uhr
Moin,

spannend wäre ja, ob die be.ip plus Kiste direkt von Bintec gleiches Verhalten aufweist.
Ich vermute mal nein. Daher frage ich mich, weshalb die DTAG dann so einen Mist da rein programmiert (lassen) hat!?

Auch interessant finde ich, dass - so zumindest der DTAG-Sprecher - man nicht eher auf das Problem mit einem Update reagiert hat und stattdessen 6 Monate bis zum Patchen braucht. Da ob man da die Telekom hinsichtlich DSGVO mit zur Kasse bitten kann? Zumindest, wenn es um den Punkt Schadensersatz geht!?

Gruß
em-pie
Bitte warten ..
Mitglied: the-buccaneer
23.11.2019 um 09:13 Uhr
Huiuiui...

Was mich ja brennend interessieren würde: Warum betreibt eine Arztpraxis einen nach aussen offenen Webserver auf der gleichen IP wie ihren PVS Server???
Und wie kann man erklären, dass trotz der sekündlich stattfindenden Portscans irgendwelcher Bots über Monate kein größerer Schaden aufgetreten ist? Oder kommt da noch was? Es wird kaum Logs geben an denen man erkennen könnte, ob und wieviel abgeflossen ist...

Ich mache seit Jahren nach irgendwelchen Freigaben / Portweiterleitungen einen Portscan um mich zu vergewissern, dass ich nix vermurkst habe.
Sollte Best Practice werden...

VG
Buc
Bitte warten ..
Mitglied: lcer00
24.11.2019 um 22:41 Uhr
Hallo,

die schon primär fehlerhafte Idee ist ja die Portweiterleitung an sich. Mir fällt eigentlich kein Grund ein, warum man solche Weiterleitungen einrichten sollte, das Kerngeschäft einer Arztpraxis ist doch sicher nicht Websitehosting.

Zweiter Fehler: Freigaben ohne Sicherheitsbeschränkungen.

Das Dumme ist, das ich sowas durchaus einigen der Ärzte-IT-Systemhäuser zutrauen würde.

Über eine ähnlich risikoreiche Situation kann ich (aus dem Jahr 2007) berichten. Zum Glück gab es keinen Zwischenfall, allerdings einen Systemhauswechsel:

Situation damals: zwei Standorte sollten per RDP verbunden werden - die Lösung:
  • Windows 2003 als Arbeitsgruppenserver ohne AD.
  • Telekom-Router mit Portweiterleitung auf den Praxisserver (ja, der mit den Patientendaten); der Praxisserver war VPN Endpunkt
  • Zu Wartungszwecken war ein Admin-Benutzer „Server“ mit einem ziemlich einfachen Passwort eingerichtet.

Seitdem finde ich es sinnvoll, den Anbieter von Praxissoftware und Infrastruktur zu trennen.

Grüße

lcer
Bitte warten ..
Mitglied: FA-jka
25.11.2019 um 05:32 Uhr
Hallo,

Zitat von the-buccaneer:

Huiuiui...

Was mich ja brennend interessieren würde: Warum betreibt eine Arztpraxis einen nach aussen offenen Webserver auf der gleichen IP wie ihren PVS Server???

SBS2011 (z.B.)

Gruß,
Jörg
Bitte warten ..
Mitglied: VGem-e
25.11.2019 um 07:37 Uhr
Moin,

dann bin ich beim SBS 2011 doch wieder bei EoL seitens Microsoft zum 14.01.2020.

Gruß

VGem-e

(der es persönlich schade findet, dass diese "Wollmilchsau" von MS nicht weiter vertreiben wurde.)
Bitte warten ..
Mitglied: the-buccaneer
25.11.2019 um 22:07 Uhr
Zitat von FA-jka:

SBS2011 (z.B.)

Gruß,
Jörg

Nixraff??? Ich muss doch den SBS nicht ins Netz stellen damit er seinen Dienst tut???

Wenn der schön hinter verschlossenen Türen werkelt kann der noch bis zum Sanktnimmerleinstag betrieben werden.

(Was ich auch niemals empfehlen würde, da gewisse Risiken nicht mehr handhabbar werden, ich weiss...)

Buc
Bitte warten ..
Mitglied: FA-jka
25.11.2019 um 22:46 Uhr
Hallo,

Port 443 fürs OWA.

Ich hänge immer einen Apache davor. Aber das ist sicherlich die Ausnahme.

Gruß,
Jörg
Bitte warten ..
Mitglied: psannz
26.11.2019, aktualisiert um 10:19 Uhr
Zitat von the-buccaneer:

Zitat von FA-jka:

SBS2011 (z.B.)

Gruß,
Jörg

Nixraff??? Ich muss doch den SBS nicht ins Netz stellen damit er seinen Dienst tut???

TCP443 wird beim SBS2011 neben OWA auch für RWA (RDS Gateway) und SSTP verwendet.
Bitte warten ..
Mitglied: lcer00
26.11.2019 um 11:03 Uhr
Hallo,
Zitat von psannz:

Zitat von the-buccaneer:

Zitat von FA-jka:

SBS2011 (z.B.)

Gruß,
Jörg

Nixraff??? Ich muss doch den SBS nicht ins Netz stellen damit er seinen Dienst tut???

TCP443 wird beim SBS2011 neben OWA auch für RWA (RDS Gateway) und SSTP verwendet.
Das ist alles keine Ausrede für das fehlende VPN.

Grüße

lcer
Bitte warten ..
Mitglied: FA-jka
26.11.2019 um 12:11 Uhr
Hallo,

es gibt Gründe, nicht jeden via VPN reinzulassen. Nicht jede Lösung passt auf jedes Szenario.

Gruß,
Jörg
Bitte warten ..
Mitglied: Henere
27.11.2019 um 15:53 Uhr
Wie praktisch, dass selbst dabei noch Fehler auftreten..... nach dem Patchen einen Werksreset, sonst geht es nicht.

https://www.heise.de/security/meldung/Nach-Datenleck-in-Arztpraxis-Weite ...

Nur mit dem neuesten Update geht es dann ohne Reset.

Man merkt immer wieder, dass in den magentafarbenen Köpfen nach wie vor nur braune stinkende Masse vorhanden ist.
Bitte warten ..
Mitglied: the-buccaneer
01.12.2019 um 23:53 Uhr
Zitat von FA-jka:

Hallo,

es gibt Gründe, nicht jeden via VPN reinzulassen. Nicht jede Lösung passt auf jedes Szenario.

Gruß,
Jörg

Ist klar, aber ich würde ja auch nicht mein AD oder meinen Fileserver bei meinem Webhoster betreiben...
Ups.. oder doch? Ist ja modern... Ist ja Cloud... Alles von überall und immer... Supi!!!

In ner Arztpraxis muss höchstens der Doc von Zuhause an die Mails. Da sollte ein VPN wohl machbar sein. Selbst der SBS2011 kann L2TP/IPSec was noch als sicher gilt... Und RDP stellt man ja auch nicht ins Internet ohne weitere Absicherung. Hatten wir hier mal vor kurzem mit den Folgen...

CU
Buc
Bitte warten ..
Mitglied: VGem-e
02.12.2019 um 11:06 Uhr
Servus,

ich habe in einigen Außenstellen auch dieses Gerät stehen, wenn auch nur zur Nutzung für Telefon und Fax.

Kann ich dann, ohne dass ich in jede Außenstelle fahren muss, prüfen, ob die automatischen Updates aktiviert sind? Und dann muss ich mir ggf. auch noch die Zugangsdaten besorgen (Tante G...gle wird hier hoffentlich weiterhelfen).

Gruß
Bitte warten ..
Mitglied: lcer00
02.12.2019 um 11:56 Uhr
Hallo,

das wäre eigentlich an anderes Thema...

ich habe in einigen Außenstellen auch dieses Gerät stehen, wenn auch nur zur Nutzung für Telefon und Fax.

Kann ich dann, ohne dass ich in jede Außenstelle fahren muss, prüfen, ob die automatischen Updates aktiviert sind? Und dann muss ich mir ggf. auch noch die Zugangsdaten besorgen (Tante G...gle wird hier hoffentlich weiterhelfen).

Es gibt 2 Arten von Automatik-Updatefunktionen. Im "Normalfall" löst ein Gerät ein Update selbst aus (per http-Anfrage auf den Updateserver) - entweder manuell oder nach Zeitplan getriggert. Die Telekom-Router haben aber auch noch eine "Push"-Update-Funktion, das heißt der Provider kann sie über einen offenen Port selbst updaten. Dieser offene Port war in der Vergangenheit bereits einmal ein Sicherheitsproblem, der von externen Angreifern missbraucht werden konnte.

Empfehlung:
  • selbst hinfahren und Update manuell einspielen
  • Überprüfen, ob das auch gelungen ist, z.B. mittels Portscan
  • Provider-getriggerte Fernwartung deaktivieren
  • regelmäßig den Updatestand vor Ort überprüfen
  • keinen Fernzugriff auf den Router, außer mittels sicherem VPN aktivieren.

Von aussen kann man mittles Portscans überprüfen, ob das NAT bzw. die Firewall korrekt blockt. Dabei muss man ein paar Dinge beachten, da Portscans unter Umständen illegal sind.

Grüße

lcer
Bitte warten ..
Mitglied: the-buccaneer
05.12.2019 um 04:03 Uhr
Reboot und erneuten Portscan nicht vergessen!

Nochmal über OpenSource nachdenken.

VG
Buc
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Datenleck bei DomainFactory
Information von magicteddyHosting & Housing22 Kommentare

Lt. Heise gab es einen Einbruch in die Systeme von DomainFactory, ich wollte mich gerade im Forum von DF ...

Router & Routing

Telekom Digitalisierungsbox nahm es mit den Portfreigaben wohl nicht so genau

Information von voucherRouter & Routing2 Kommentare

Da stellen sich einem echt die Haare Zitat: " Der Standardport für HTTPS ist 443, laut Zengel gibt der ...

Microsoft

FYI: Windows-Aktivierungsserver derzeit wohl gestört

Information von kgbornMicrosoft5 Kommentare

Kurze Information, falls bei euch irgendwelche Windows 10 Pro Maschinen meinen, sie wären plötzlich Home oder gar nicht mehr ...

Hardware

FYI: Akku-Rückruf von HP wegen Brandgefahr (4.1.2018)

Tipp von kgbornHardware6 Kommentare

Wer HP Notebooks und mobile Workstations im Unternehmen verwendet und für deren Administration zuständig ist, auf den dürfte Arbeit ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...