Fax-Sicherheitslücke (Faxploit) gefährdet Patientendaten im Gesundheitswesen!

Faxploit

Forscher aus dem Haus Check Point haben vor einigen Tagen auf der Sicherheitskonferenz Def Con 26 in Las Vegas  eine Fax-Attacke (Faxploit) vorgestellt, welche das Potential hat im großen Umfang sensibler Patientendaten habhaft zu werden. Konkret geht es um Sicherheitslücken in sog. Multifunktionsgeräten mit Faxfunktion, welche aufgrund des Digitalisierungsstaus in der Branche noch sehr häufig im Gesundheitswesen anzutreffen sind.

Wie das Wort schon suggeriert, agieren diese Multifunktionsgeräte nicht nur als bloßes Faxgerät, demnach sind Faxgeräte ohne Netzwerkintegration nicht betroffen, sondern erfüllen eine Multifunktion als Drucker, Scanner, Kopiergerät sowie Fax in einem. Um diese Funktionen ordnungsgemäß auszuführen, sind diese im lokalen Firmennetzwerk über Bluetooth-, USB-, WLAN- oder Netzwerkverbindungen in die örtliche IT-Infrastruktur integriert.

Normalerweise sind diese Geräte durch entsprechende Sicherheitspatches sowie der Firewallfunktion des Routers recht gut vor Angriffen von außerhalb geschützt. Bei der aktuellen Sicherheitslücke ist dies jedoch anders, da der Angriff über die Telefonleitung mittels einem Fax, in welchem ein Schadcode integriert ist, erfolgt. Der sog. Faxploit verursacht hierbei einen Stapel- oder statischen Pufferüberlauf der eine Remotecodeausführung ermöglicht, mit welcher man dann die im Netzwerk vorhandenen Computer anschließend ansteuern kann. Da die im Netzwerk befindlichen Computer das Multifunktionsgerät natürlich nicht als Bedrohung identifizieren, dürften auch bekannte Sicherheitssoftwarelösungen an dieser Stelle versagen, so dass es ohne große Probleme möglich ist, sensible Kunden-/Patientendaten zu erbeuten und diese dann per ferngesteuertem Fax an z.B. ein Fax des Angreifers Fax zu senden.

Denkbar wäre natürlich auch, dass gefaxte Rezepte aus dem Dokumentenspeicher des Gerätes ausgelesen und an den Angreifer gesendet werden können!

In der Praxis sieht das Ganze dann so aus:

Quelle: https://research.checkpoint.com/sending-fax-back-to-the-dark-ages/

Wie in dem Video ersichtlich wird, ist die Attacke erschreckend einfach, so dass Unternehmen mit sensiblen Daten dringend handeln sollten. In dem Szenario von Checkpoint wurde die Sicherheitslücke vor allem auf HP-Geräten gefunden, da jedoch ein einheitliches Faxprotokoll verwendet wird, ist die Wahrscheinlichkeit, dass auch andere Geräte und sogar Online-fax2email-Lösungen betroffen sind sehr hoch.

 

Was ist erforderlich, um den Faxploit-Angriff zu verhindern?

Da in erster Linie Multifunktionsgeräte von HP betroffen sind, hat der Anbieter eine Liste mit den betroffenen Geräten und verfügbaren Patches bereitgestellt. – https://support.hp.com/de-de/document/c06102521

Wir empfehlen dringend die Aktualisierung so schnell wie möglich einzuspielen. Sollten Sie über keinen IT-Dienstleister mit Wartungsvertrag verfügen, können wir Sie auch rasch per Fernwartung hierbei unterstützen, nehmen Sie hierzu Kontakt mit uns auf.

Sollten Sie von anderen Herstellern Multifunktionsgeräte im Einsatz haben, empfehlen wir Ihnen sich mit dem jeweiligen Hersteller in Verbindung zu setzen und zu fragen, ob die Geräte gegen die Angriffsmethoden mit den Identifikationsnummern CVE-2018-5924 und CVE-2018-5925 geschützt sind. Ist dies nicht der Fall, erkundigen Sie sich bitte nach einem entsprechenden Sicherheitspatch, sollte der Hersteller dieses, z.B. aufgrund des Alters des Gerätes, nicht bereitstellen, empfehlen wir die Anschaffung eines neuen Gerätes oder das Altgerät vom Netzwerk zu trennen und ausschließlich als Fax zu nutzen ohne Verbindung zu einem Computer im Netzwerk.

 

Wie kam es zu dieser Sicherheitslücke?

Die im täglichen Einsatz befindlichen Computer, Router etc. werden aufgrund permanenter Weiterentwicklung durch Sicherheitspatches, Hard- & Softwarelösungen gut geschützt. Überholte Technologien, welche nicht mehr im täglichen Gebrauch sind, bzw. nur noch in bestimmten Branchen anzutreffen sind, werden hingegen weniger gut mit Sicherheitslösungen versorgt. Da der Faxploit-Angriff auch noch über die Telefonleitung erfolgt, statt über den Router und die damit verbundenen Server- & Desktopsysteme, ist die Aufmerksamkeit in diesem Bereich eben besonders gering gewesen und wird, aufgrund der schwindenden Rolle des Faxgerätes, auch künftig nicht mehr intensiviert werden.

Demnach ist dieser Beitrag auch ein Apell an die Branche sich mit dem Thema Digitalisierung zu befassen und diese auch endlich umzusetzen. Selbst wenn man gerne an etablierten, alten System festhält, finden wir, dass der Kunde und Patient ein Recht darauf hat, dass seine Daten zu gut wie möglich geschützt werden. Wir unterstützen Sie gerne, diesen Weg mit uns gemeinsam zu gehen.

Vielen Dank für Ihre Aufmerksamkeit.