Ein schwerer Bug in der Port-Freigabe der Telekom Digitalisierungsbox Premium sorgt dafür, das mitunter nicht nur der eigentlich gewünschte Port freigegeben wird, sondern auch weitere.
So kann es passieren, das neben z.B. Port 443/tcp (https) dann eben auch 445/tcp (smb) zum Internet hin freigegeben wird und dann mögliche Angreifer Zugriff auf einen Dateiserver erlangen.
Die Situation als solches kann man bei heise nachlesen:
c’t deckt auf Zehntausende Patientenakten durch Telekom-Router-Lücke im Netz
Neben dem Bug als solches kommt zum Tragen, das auf dem Dateiserver vmtl. die Freigabe- und Dateirechte auf „Vollzugriff:Jeder“ gesetzt waren. Ich spekuliere mal und vermute, das zusätzlich noch generell die kennwortgeschützte Freigabe deaktiviert war, denn dann ist ein Zugriff ohne jedwede Anmeldung möglich. Darüber hinaus muss in der Windows-Firewall, je nach Ausgabe und Version, dann noch der Zugriff jenseits des eigenen Subnetztes konfiguriert oder die Firewall deaktiviert gewesen sein.
Die Telekom ist vmtl. nicht der alleinige „Urheber“ des Fehlers in der Digitalisierungsbox, da die Geräte von Bintec Elmeg entwickelt und gebaut werden. Im Grunde handelt es sich um abgespeckte und gebrandete be.IP-Modelle. Unschön neben diesem Bug ist das der Fehler seit Mai 2019 bekannt ist und erst jetzt ein Update folgen soll.
Dieser Fall zeigt sehr schön, das man sich nicht auf die „erste Verteitigungslinie“, sprich den Router bzw. die Firewall alleine verlassen darf. „Hinten dran“ sollten auch die Berechtigungen stimmen und weitere Sicherheits- sowie Monitoringmaßnahmen sind ebenfalls ratsam.
Aus diesem aktuellen Anlass habe ich die beiden Digiboxen, die wir bei Kunden geerbt haben mal mit GRC ShieldsUp! gescannt. Soweit nichts auffälliges, wobei nur bei einer dieser Boxen Port 443 freigegeben ist.
Womöglich ist das Ganze davon abhängig, mit welchem Softwarestand die Freigabe erstellt wurde. Bei diesem einem Kunden gibt es die Freigabe seit Jahren. In den Kommentaren zum heise-Artikel kann man nachlesen, das der Fehler wohl durch den Assistenten verursacht wird, dieser sei zwischen den Telekom- und den Bintec Elmeg-Geräten unterschiedlich.
Danke an Norbert von dnsHome.de für den Hinweis auf die Lücke und den heise-Artikel.
Schon immer Technik-Enthusiast, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen. Die Schwerpunkte liegen auf der Netzwerkinfrastruktur, den Betrieb von Servern und Diensten.