FYI Sicherheitsproblem bei der Digitalisierungsbox Premium

Einmal gespeichert sollten solche sicherheitsrelevanten  Einstellungen wenigstens sitzen.

Wenn dann ein Router nach einem Firmware Update zum Beispiel, einmal geänderte Einstellungen wieder überschreibt kann man das ruhig als schwerwiegenden Bug einordnen. 

Eine Lücke wäre es wenn der Laden trotz Änderungen immer noch offen ist. 
Schlamperei ist eigentlich den seit Mai bekannten Fehler so lange auszusitzen.

Meine bescheidene, unbedeutende Meinung dazu. 

Gruß VoPo 

@VoPo914 

Seh ich auch so. 

Wenn ich als Entwickler der Box vordefinierte Ports anbiete, sollten auch die richtigen Ports freigegeben werden ohne dass man prüft was die Kiste macht. Bei HTTPS erwarte ich 443, und nicht 440-449. Ebenso bei HTTP 80, und nicht 80-89. 8080 lass ich als Alternativport durchgehen. Aber nicht 80-89. 

Und dass die Kiste die Ports erst nach einem reset nach dem Update korrekt angelegt hat, und nicht nur durch das Update selbst... Nuja. 

Und dass der Fehler über ein halbes Jahr geduldet wurde... Dazu muss man denk ich auch nichts sagen. 

Das ist auch nicht der Bug.

Der Bug ist, dass die Kiste in der Vorlage viel zu viele Ports freigegeben hat, statt 2 nämlich 20. Wovon 18 überhaupt nichts mehr mit den eigentlichen Freigaben zutun haben. Und einer davon, die Ursache hier, 445; SMB. Und der hat mal so gar nichts in der HTTPS Vorlage zu suchen. 

@patrickn 

- Der Bug ist, dass die Kiste in der Vorlage viel zu viele Ports freigegeben hat, statt 2 nämlich 20. Wovon 18 überhaupt nichts mehr mit den eigentlichen Freigaben zutun haben. 

Wo siehst du da einen Fehler?

Derjenige der die DB konfiguriert, muß wissen was er tut.

In dem erwähnten Fall wußte das der Dienstleister offensichtlich nicht.

@patrickn 

Du kennst die DB offensichtlich nicht?

Sonst solltest du wissen, daß der Bereich für https erstens nicht festgemeißelt ist, den kann man anpassen, und zweitens kann man einen eigenen Dienst z.B. myhttps anlegen, der dann nur den Port 443 beinhaltet.

Was spielt das für eine Rolle?

Die Kiste hat in der standardmäßigen HTTP/S Vorlage viel zu viele Ports freigegeben, die nichts mehr mit HTTP/S zutun haben. Ob man das selbst anpassen kann, oder eigene Vorlagen erstellen kann, hat mit der Sache doch absolut nichts zutun und ist irrelevant. Es geht einzig und allein um die ab Werk vordefinierte Vorlage, und die war schlicht falsch.

Und die Standard HTTP/S Ports sind fest definiert, seit Jahren. Jahrzehnten. Und die sind 80 und 443, und nicht 80-89 und 440-449. Und wenn die DB bis zum Novemberupdate das für den Standard hielt in der Vorlage, hat beim Programmieren der Vorlage schlicht einer gewaltig gepennt. 

@patrickn 

Für mich ist der IT-Dienstleister, der die DB eingerichtet hat, eine Hohlbirne, der keine Ahnung hat.

Derjenige, der den Windows-Server eingerichtet hat genauso.

Wahrscheinlich war es sogar derselbe.

Vielleicht, vielleicht auch nicht.

Ändert nichts an der Tatsache, dass der eigentliche Fehler in der standardmäßigen Vorlage lag.

Fakt ist, wer nur auf die Standardvorlage der Diensteliste

oder den in der Gruppe "Internet" enthaltenen Diensten

völlig ungeprüft und blind vertraut und darauf basierend eingehenden Netzwerkverkehr so zulässt, hat das selbst zu verantworten.

Und ein Portscan (https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1) nach einer nach innen öffnenden Konfiguration ist ja nicht verboten...

Dennoch ist zu hinterfragen, warum bintec elmeg oder die Telekom das (bewusst?) so zugelassen haben.

In der Standardkonfiguration der bintec elmeg be.IP plus ist alles "sauber":

Guten Morgen, auch an das BSI!

12.01.2019
wannacrypt Wurm kommt über Digitalisierungsbox tcp/445

https://www.neuburger-it.de/de/aktuelles/beitraege/2019/wannacrypt.php