[Gelöst] Schwere Lücke in Bintec/Telekom Routern (Digitalisierungsbox Prremium ud Original)

[Theo Tintensich]

Warum eine komplette Arztpraxis offen im Netz stand

Die Krankenakten zehntausender Patienten einer Celler Arztpraxis waren für jeden übers Internet abrufbar. Als wir dem Fall nachgingen, stießen wir auf eine Schwachstelle in Routern der Telekom.

www.heise.de

Es wird bei der Portfreigabe ein Bereich freigegeben, nicht nur der einzelne Port.

Will man z.B. 443/tcp freigeben, gibt der Router 440/tcp bis 449/tcp frei. Und damit auch SMB.

Dies passiert bei alter Firmware, und bei Systemen, die auf die aktuelle Firmware upgedatet werden.
Nur wenn die Systeme mit der aktuellen FW neu konfiguriert werden, pasiert das nicht.

 

[RealHendrik]

Habe ich auch gerade gelesen. Interessant finde ich: Das Problem ist der Telekom seit Mai 2019 bekannt, aber erst vor ein paar Wochen gab es Firmware ohne diesen Bug.

 

[kleinkariert]

Über einen offenen SMB-Port 445 allein bekommt man ja noch keinen SMB-Zugriff auf Windows oder Windows-Server, man benötigt noch eine abgeschaltete oder "IP-offene" Firewall für die Datei- und Druckerfreigabe und ein katastrophales Freigabe/Sicherheits-Konzept.
In der Windows-Firewall sollten für alle Regeln der Datei- und Druckerfreigabe der Remote-IP-Bereich "Lokales Subnetz" eingestellt sein, für "Beliebig" benötigt man einen wirklch triftigen Grund! Da packt man dann maximal die IP-Bereiche von "VPN-Filialen" dazu, also nur lokale IP-Adressbereiche, so dass ein freier SMB-Zugriff vom Internet aus gar nicht möglich sein sollte.
Da fragt man sich, was der IT-Dienstleister der Praxis so beruflich macht, wahrscheinlich "irgendwas mit Computern".

 

[RealHendrik]

.....und ein katastrophales Freigabe/Sicherheits-Konzept.

Wenn Du wüßtest, was in manchen kleinen und mittelgroßen Unternehmen von sog. IT-Fachleuten an "Sicherheitskonzepten" installiert wird. Neulich bei einem gesehen: Router offen wie ein Scheunentor, eine einzige DMZ sozusagen. (Vorsätzlich konfiguriert. Ich vermute, um etwaigen Problemen kategorisch aus dem Weg zu gehen.) Und auf jedem der halbdutzend Arbeitsplatzrechner Kaspersky Antivirus, "Das würde ausreichen, sagt unser IT-Mensch."

 

[Insti]

Offen bleibt die Frage, wer für Schäden haftet, die durch die oben beschriebene Situation entstanden sind.

Ich würde sagen der ist Schuld der das so eingestellt hat:

Der Server war ungeschützt, die Zugriffsrechte waren auf „Jeder“ gesetzt.

 

[weißnix_]

Will man z.B. 443/tcp freigeben, gibt der Router 440/tcp bis 449/tcp frei

Kann ich unter 10.2.7.101 (be.ip plus) nicht nachvollziehen. 443 ist geplant offen. Der schnelle Portscan zeigt 445 als geschlossen an.

Desweiteren muss -ausser man hat den WAN-Port "vertrauenswürdig" konfiguriert - noch eine flankierende Firewall-Regel her.
Da hier ausserdem auf den heise-Portscan verwiesen wird: ist der gerade off? Der funzt bei mir weder unter FF70.0.1 noch unter Chrome 78.0.3904.108. Da wird mir noch nichtmal meine aufrufende IP angezeigt.

PS: Ja ich hab gelesen, dass es um die Digibox geht, aber

Weil, wenn ich das richtig verstanden habe, es wohl auch bei den Original-Geräten auftreten kann.

 

[Kalle2006]

Der Fehler steckt im "Assistenten NAT / Firewall", und den nutzt normalerweise niemand der sich mit Portweiterleitungen auskennt, denn dieser ist viel zu unflexibel. So werden dabei in meiner Installation nicht alle WAN - Schnittstellen zur Auswahl angeboten.
Es wird wahrscheinlich am Montag für die be.IP plus ein Firmware Update geben. Das Readme dazu existiert schon auf dem FTP - Server.

 

[SFA1492]

Hallo,

nachdem ich mich im bintec elmeg Forum dazu geäußert habe, wurde mir soeben von einem meiner vertrieblichen Ansprechpartner mitgeteilt, dass die neue Firmware nun zur Verfügung steht (momentan nur FTP-Server).

 

[Kalle2006]

Die neue Firmware wird auch schon über den Update - Server ausgeliefert.
Man kann den Fehler aber auch selbst ohne das Update beheben. Dazu muss man nur die Liste der Dienste in der Firewall korrigieren.
Es sind übrigens nicht alle bintec Router betroffen.

 

[Netzwerkservice]

Die Herausforderung ist hier doch einfach, dass die Telekom den Endusern gesagt hat, das jeder ohne Wissen die Kisten installieren kann.

Bezüglich Arztpraxen sehe ich das leider häufig, das hier sogenannte ITler (oft Verwandschaft oder Freunde) hier Dinge machen, welche schon sehr grenzwertig sind.

Letztens hat ein einem Arzt ein "Fachmann" von der TI (Telematikinfrastruktur) bei einem Arzt den Lancom außer Betrieb gesetzt und es wurde durch eine Fritzbox ersetzt, da diese weniger Probleme macht.

Als ich nun bei diesem Arzt als neuer Dienstleister wegen der TK-Anlage war, da interne Gespräche oft nicht gingen. Hier hatte man mit 10 Mobilteilen über 2! N510 + Repeater gearbeitet. Dieses wurde nun im ersten Schritt durch ein N870 System ersetzt.

Ich habe dem Arzt kurz erklärt, das alleine die Kaspersky Antivirus auf den Rechnern keine Hilfe sind.

@ RealHendrik

Das ganze war aber nicht in RLP oder? Hier war die TI & einige Systemhäuser nämlich genau auf diesen Trip. Wobei in RLP der LfD auch recht locker ist und mir damals erklärt hat, das jeder Arzt auch ohne (externen) DSB seine Daten gut schützen kann.

 

[Einerwiekeinersonst]

Geht wohl weiter ...

Nach Datenleck in Arztpraxis: Weitere Router betroffen, jetzt patchen!

Der gefährliche Konfigurationsfehler, der zum Datenleck in Celle führte, steckt in insgesamt drei Telekom-Routern. Ein Update soll jetzt für Abhilfe sorgen.

www.heise.de

 

[Theo Tintensich]

Geht wohl weiter

Ja, dass es die neue FW gibt. ;-)
Da die 'Basic' ein Modell von Zyxel ist, halte ich persönlich die Wahrscheinlichkeit dieses Fehlers sehr gering.
Doch wer weiß ....