[Gelöst] Schwere Lücke in Bintec/Telekom Routern (Digitalisierungsbox Prremium ud Original)

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
1,592
Punkte für Reaktionen
36
Punkte
48

Es wird bei der Portfreigabe ein Bereich freigegeben, nicht nur der einzelne Port.

Will man z.B. 443/tcp freigeben, gibt der Router 440/tcp bis 449/tcp frei. Und damit auch SMB.

Dies passiert bei alter Firmware, und bei Systemen, die auf die aktuelle Firmware upgedatet werden.
Nur wenn die Systeme mit der aktuellen FW neu konfiguriert werden, pasiert das nicht.
 

RealHendrik

Aktives Mitglied
Mitglied seit
23 Sep 2005
Beiträge
1,192
Punkte für Reaktionen
21
Punkte
38
Habe ich auch gerade gelesen. Interessant finde ich: Das Problem ist der Telekom seit Mai 2019 bekannt, aber erst vor ein paar Wochen gab es Firmware ohne diesen Bug.
 

Olaf Ligor

Neuer User
Mitglied seit
21 Mai 2019
Beiträge
155
Punkte für Reaktionen
14
Punkte
18
Über einen offenen SMB-Port 445 allein bekommt man ja noch keinen SMB-Zugriff auf Windows oder Windows-Server, man benötigt noch eine abgeschaltete oder "IP-offene" Firewall für die Datei- und Druckerfreigabe und ein katastrophales Freigabe/Sicherheits-Konzept.
In der Windows-Firewall sollten für alle Regeln der Datei- und Druckerfreigabe der Remote-IP-Bereich "Lokales Subnetz" eingestellt sein, für "Beliebig" benötigt man einen wirklch triftigen Grund! Da packt man dann maximal die IP-Bereiche von "VPN-Filialen" dazu, also nur lokale IP-Adressbereiche, so dass ein freier SMB-Zugriff vom Internet aus gar nicht möglich sein sollte.
Da fragt man sich, was der IT-Dienstleister der Praxis so beruflich macht, wahrscheinlich "irgendwas mit Computern".
 

RealHendrik

Aktives Mitglied
Mitglied seit
23 Sep 2005
Beiträge
1,192
Punkte für Reaktionen
21
Punkte
38
.....und ein katastrophales Freigabe/Sicherheits-Konzept.
Wenn Du wüßtest, was in manchen kleinen und mittelgroßen Unternehmen von sog. IT-Fachleuten an "Sicherheitskonzepten" installiert wird. Neulich bei einem gesehen: Router offen wie ein Scheunentor, eine einzige DMZ sozusagen. (Vorsätzlich konfiguriert. Ich vermute, um etwaigen Problemen kategorisch aus dem Weg zu gehen.) Und auf jedem der halbdutzend Arbeitsplatzrechner Kaspersky Antivirus, "Das würde ausreichen, sagt unser IT-Mensch."
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
228
Punkte für Reaktionen
21
Punkte
18
Offen bleibt die Frage, wer für Schäden haftet, die durch die oben beschriebene Situation entstanden sind.
Ich würde sagen der ist Schuld der das so eingestellt hat:
Der Server war ungeschützt, die Zugriffsrechte waren auf „Jeder“ gesetzt.
 

weißnix_

Mitglied
Mitglied seit
4 Aug 2015
Beiträge
567
Punkte für Reaktionen
34
Punkte
28
Will man z.B. 443/tcp freigeben, gibt der Router 440/tcp bis 449/tcp frei
Kann ich unter 10.2.7.101 (be.ip plus) nicht nachvollziehen. 443 ist geplant offen. Der schnelle Portscan zeigt 445 als geschlossen an.

Desweiteren muss -ausser man hat den WAN-Port "vertrauenswürdig" konfiguriert - noch eine flankierende Firewall-Regel her.
Da hier ausserdem auf den heise-Portscan verwiesen wird: ist der gerade off? Der funzt bei mir weder unter FF70.0.1 noch unter Chrome 78.0.3904.108. Da wird mir noch nichtmal meine aufrufende IP angezeigt.Unbenannt.PNG

PS: Ja ich hab gelesen, dass es um die Digibox geht, aber
Weil, wenn ich das richtig verstanden habe, es wohl auch bei den Original-Geräten auftreten kann.
 
Zuletzt bearbeitet:

Kalle2006

IPPF-Promi
Mitglied seit
23 Jul 2006
Beiträge
3,127
Punkte für Reaktionen
54
Punkte
48
Der Fehler steckt im "Assistenten NAT / Firewall", und den nutzt normalerweise niemand der sich mit Portweiterleitungen auskennt, denn dieser ist viel zu unflexibel. So werden dabei in meiner Installation nicht alle WAN - Schnittstellen zur Auswahl angeboten.
Es wird wahrscheinlich am Montag für die be.IP plus ein Firmware Update geben. Das Readme dazu existiert schon auf dem FTP - Server.
 

SFA1492

Mitglied
Mitglied seit
20 Jul 2015
Beiträge
303
Punkte für Reaktionen
18
Punkte
18
Hallo,

nachdem ich mich im bintec elmeg Forum dazu geäußert habe, wurde mir soeben von einem meiner vertrieblichen Ansprechpartner mitgeteilt, dass die neue Firmware nun zur Verfügung steht (momentan nur FTP-Server).
 

Kalle2006

IPPF-Promi
Mitglied seit
23 Jul 2006
Beiträge
3,127
Punkte für Reaktionen
54
Punkte
48
Die neue Firmware wird auch schon über den Update - Server ausgeliefert.
Man kann den Fehler aber auch selbst ohne das Update beheben. Dazu muss man nur die Liste der Dienste in der Firewall korrigieren.
Es sind übrigens nicht alle bintec Router betroffen.
 

Netzwerkservice

Mitglied
Mitglied seit
15 Apr 2006
Beiträge
596
Punkte für Reaktionen
34
Punkte
28
Die Herausforderung ist hier doch einfach, dass die Telekom den Endusern gesagt hat, das jeder ohne Wissen die Kisten installieren kann.

Bezüglich Arztpraxen sehe ich das leider häufig, das hier sogenannte ITler (oft Verwandschaft oder Freunde) hier Dinge machen, welche schon sehr grenzwertig sind.

Letztens hat ein einem Arzt ein "Fachmann" von der TI (Telematikinfrastruktur) bei einem Arzt den Lancom außer Betrieb gesetzt und es wurde durch eine Fritzbox ersetzt, da diese weniger Probleme macht. :oops:

Als ich nun bei diesem Arzt als neuer Dienstleister wegen der TK-Anlage war, da interne Gespräche oft nicht gingen. Hier hatte man mit 10 Mobilteilen über 2! N510 + Repeater gearbeitet. Dieses wurde nun im ersten Schritt durch ein N870 System ersetzt.

Ich habe dem Arzt kurz erklärt, das alleine die Kaspersky Antivirus auf den Rechnern keine Hilfe sind.

@ RealHendrik

Das ganze war aber nicht in RLP oder? Hier war die TI & einige Systemhäuser nämlich genau auf diesen Trip. Wobei in RLP der LfD auch recht locker ist und mir damals erklärt hat, das jeder Arzt auch ohne (externen) DSB seine Daten gut schützen kann.
 
  • Like
Reaktionen: weißnix_

Einerwiekeinersonst

Neuer User
Mitglied seit
13 Dez 2018
Beiträge
53
Punkte für Reaktionen
9
Punkte
8

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
1,592
Punkte für Reaktionen
36
Punkte
48

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,330
Beiträge
2,032,881
Mitglieder
351,897
Neuestes Mitglied
MaxMust23