Weitere Telekom Business-Router mit Sicherheits-Bug (27.11.2019)

[English]Die von der Telekom an Geschäftskunden ausgegebene Digitalisierungsbox hat einen Firmware-Bug, der ungewollt Ports bei einer Portweiterleitung öffnet. Nun stellt sich heraus, dass weitere Business-Router der Telekom die gleichen Firmware-Fehler aufweisen. Firmware-Updates sind aber verfügbar.

Problem: Sicherheitslücke im Telekom-Business-Router

Ich hatte ja vor einigen Tagen im Blog-Beitrag Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox über ein Datenleck in einer Arztpraxis berichtet, bei dem Tausende an Patientendaten per Internet abrufbar waren. Dabei stellte sich auch heraus, dass ein Telekom-Business-Router, als “Digitalisierungs­box Premium“ an Geschäftskunden vermarktet, im Einsatz war.

Im Blog-Beitrag hatte ich über Erkenntnisse von Sicherheitsexperten berichtet, dass die Firmware dieses Business-Routers einen Bug aufwies. Bei einem Portforwarding gibt die Firmware nicht nur diesen Port, sondern die HTTP-Ports 80 bis 89 sowie die HTTPS-Ports 440 bis 449 frei. Diese sind dann per Internet erreichbar.

Gegenüber heise bestätigt die Telekom über einen Unternehmenssprecher über die Sicherheitslücke beim Port-Forwarding seit Mai 2019 informiert gewesen zu sein. Ein Firmware-Update, welches das Problem beseitigt, ist für diesen Router inzwischen verfügbar.

Weitere Telekom-Business-Router mit Forwarding-Bug

Jetzt berichtet heise in diesem Artikel, dass auch weitere Telekom-Business-Router vom Forwarding-Bug in der Firmware betroffen sind. Insgesamt sind, neben dem Business-Router-Modell (Digitalisierungsbox Premium auch die Modelle Digitalisierungsbox Standard und Smart betroffen.

Firmware-Update für Telekom Digitalisierungsbox
(Info zum Firmware-Update für die Telekom Digitalisierungsbox)

Die Telekom hat nun Firmware-Updates für alle drei betroffene Business-Router-Modelle herausgegeben. Im heise-Artikel heißt es, dass diese Firmware-Updates die Einstellungen der Router behalten, aber den Port-Forward-Bug beheben, sollen. Die Firmware-Version 11.1.2.102 steht unter folgenden Links zum Download bereit.

Laut heise sollen betroffene Kunden seit Dienstag (26.11.2019) per E-Mail über das Problem und das Firmware-Update informiert worden sein. Wer diese Business-Router betreut bzw. einsetzt, sollte sich daher zeitnah um ein Firmware-Update kümmern und im Anschluss prüfen, ob nicht doch ungewollt Ports im Internet erreichbar sind.

Da der Hersteller Elmeg auch Router unter eigenem Namen vertreibt, solle man dort prüfen, ob auch für diese Geräte ein Firmware-Update verfügbar ist (siehe auch diesen Kommentar). Und in diesem Kommentar weist ein Nutzer auf ein Firmware-Update für den von der Telekom vertriebenen Router Speedport W 724V hin. Allerdings gibt die Telekom keinen Hinweis, dass dort das Port-Forwarding-Problem auftrat.

Dieser Beitrag wurde unter Geräte, Internet, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Weitere Telekom Business-Router mit Sicherheits-Bug (27.11.2019)

  1. Dekre sagt:

    Danke. Da muss ich doch gleich mal schauen, ob es für W 921 V auch was gibt und es gibt nichts. Das einzige was kommt ist eine pdf-Datei für die manuelle Firmwareaktualisierung mit Stand 11/2019. Die letzte Aktualisierung war dort 08/2019.

    Ich will mal darauf hinweisen, dass das Firmware-Update für den W 724V nur (!) Typ C betrifft.

    Das was heise anspricht sind die sog. Digitalisierungsboxen. Die Speedport sind wohl die Vorgänger. Aber mal schauen, ob da noch was kommt.

  2. Herr IngoW sagt:

    Warum werden die Router nicht automatisch aktualisiert, geht bei anderen Firmen/Anbietern doch auch.

  3. Anekdote von der Front: die von Sphairon (jetzt Zyxel) hergestellten und von der Telekom vor den Digitalisierungsboxen für Geschäftskunden (beispielsweise Arztpraxen) vorgesehenen/vertriebenen SpeedLink-Router (in denen ein URALTER Linux-Kernel läuft, und bis vor kurzem ein URALTES, ungewartetes Samba) hatten vor zwei/drei Jahren eine Schwachstelle, „dank“ der sich der Fernwartungszugang nicht auf IPv4-Adressbereiche einschränken lies.
    Nach Meldung des Fehlers an das Telekom-CERT hat sich der in Bautzen ansässige Hersteller direkt gemeldet, den Fehler nach einer Iteration nachstellen können und innerhalb von 10 Tagen behoben. Die automatische Auslieferung bzw. die Bereitstellung der aktualisierten Firmware durch die Telekom hat dann etwas länger gebraucht…
    JFTR: der in Berlin ansässige Hersteller mit den 3 Buchstaben hat bisher immer langsamer reagiert.

    • wufuc_MaD sagt:

      das ist vom kanzleramt so gewollt.. liegt an der geolocation/drm und nicht-austauschbarkeit des neuen tollen bnd-hauptquartiers.. dafür wars dann doch etwas zu hochpreisig; es nicht zu nutzen..

      mir schwant die gangsterclique, die die“wieder“einführung des routerzwanges in die röhre gebracht hat ist die selbe wie jene, die was von veralteter firmware faselt welche die verbraucher (leistungserbringer) nicht in der lage seien auf die geräte zu flashen. das muss daran liegen, dass man die mal eben paar monate länger zurückhält oder schlicht – nicht – zur verfügung stellt (da können sie vertrauen)..

      es grüßt „mirai“ im bundle mit kostenlosem wlan (hotspot) für alle ohne nachteile für „niemanden“ aus dem warenkorb für nur

      0€

      jetzt bestellen!!!!

      ps: wie zum geier sind diese updates hier raufgekommen… …

  4. OlliD@IRQ8 sagt:

    Die Digitalisierungsboxen werden in der Standardvoreinstellung immer mit der aktuellsten Firmware durch die Telekom versorgt, sofern man nicht gewollt TR-069 deaktiviert hat.

  5. clob sagt:

    „Insgesamt sind, neben beim Business-Router Modell Digitalisierungsbox neben der Variante Premium auch die Modelle Standard und Smart betroffen.“ neben dem + der Variante (zB.)
    „sollte sich daher zeitnah um eine Firmware-Update“ ein

  6. Bediener 1 sagt:

    Diese Router wurden ja speziell dem „ärztlichen“ Bereich angedient, wahrscheinlich zusammen mit dem Telekom TI Konnektor als das „rundum sorglos Paket“.
    Ich nehme mal an, dass der nervende Lüfter im Telekom TI Konnektor nicht zur Erhöhung der kryptographischen Entropie genutzt wird (es gibt ja Geräte, die das bewusst nutzen) und hoffentlich das kein „Sidechannel“ Risiko zusammen mit blinkenden Leds darstellt.
    Die zeitverzögerte Reaktion…
    Ist da eine Meldung auf der BSI Seite…
    Die „offene“ Konstruktion…
    Wasser auf die Muehlen der Aluhutträger und Verschwörungs….
    Ist halt dumm gelaufen…

  7. Bediener 1 sagt:

    Kleiner Nachtrag:
    Europas größtes IT- und Tech-Magazin hat sich in der aktuellen und der vorherigen Ausgabe mit diesem Thema auch unter dem Gesichtspunkt des juristischen Dilemmas internsiv auseinandergesetzt:
    „Die Bomben Ticken“ von Thomas Maus in der c`t 2019 Heft 26 schildern das digitale Dilemma.
    Und Joerg Heidrich beleuchtet kompetent den juristischen Aspekt.
    Mein Respekt vor dem Verlag, dass er den Mut hat, das „heisse Eisen “
    zu thematisiert.
    Der „digitale Diesel… im Gesundheits…“
    Wer will schon der digitale Spielverderber sein???!!!
    Die Ada App lässt grüssen!!!
    Warum gibt es nicht eine dezentrale Lösung:
    Austausch digitaler Daten über eine „Medifaxlösung“ die Datengrundschutz kompatibel ist“ ???!!! Arztbrief und digitale Dateien … Röntgenbildern zwischen den „Leistungserbringern“???!!!
    Dicom ab 2020 Pflicht!!! Zwingende Verknüpfung zwischen Röntgenbild und Patientendaten, das bedeutet, dass eine Anonymisierung ab 2020 juristisch nicht mehr zulässig ist!!!
    Und wenn der Patient die digitale Datenspende wünscht… warum nicht… wenn er gefragt wird und einwilligt (auch in der Verantwortung seiner genetisch Nächsten, für die er eine Vollmacht… vielleicht hat)???!!!
    Ich werde hier auch nicht mehr posten, da das Thema jetzt auch endlich kompetent beleuchtet wird.
    Der Diesel… wurde auch nicht in einer Automobil…Zweitschrift ….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert