Medical IT: Patientendaten im Netz

Patientendaten und unsichere IT - eine unangenehme Kombination

Sebastian Bicchi
15.01.2020 | Research / Advisory

Das Advisory befindet sich am Ende dieser Seite - klicken Sie hier dorthin zu springen.
If you are looking for the advisory regarding Aperio Spectrum, please click here.

Medizinische Daten und das Internet

Medizinische Daten im Internet hinterlassen oft ein mulmiges Gefühl bei den betroffenen Patienten - sind die Daten ausreichend gesichert? Wer kann meine Daten sehen? Wir haben versucht mit einfachen Mitteln an medizinische Daten zu kommen - mit Erfolg. In weniger als 48 Stunden konnten wir mehrere hundert Patientendaten laden und fanden Schwachstellen in Nischen-Software, die in Krankenhäusern verwendet wird.

Einleitung

Zunächst suchten wir mittels Shodan nach den bekannten Schwachstellen bei Geräten, die den DICOM Standard zum Datenaustausch verwenden. Hier wurden wir bereits bei den ersten Ergebnissen fündig - eine Klinik in den USA hatte mehrere Geräte mit diesem geöffneten Port im Internet. Wir konnten Daten der Patienten abfragen und herunterladen. Nach unserer Meldung an den Betreiber der Klinik wurde das Problem innerhalb von 4 Stunden gelöst.

Die betroffene Organisation hat sich bei uns gemeldet. Nach Rücksprache mit der betroffenen Organisation sehen wir hier auf deren ausdrückliche Bitte von einer Datenveröffentlichung und Namensnennung ab.

Es steht jedoch ausser Frage, dass noch sehr viele Patientendaten via DICOM im Internet zugänglich sind - jedoch unserer Analyse nach nicht in Österreich:

Diese Schwachstelle wurde bereits von Greenbone Security gefunden, österreichische Organisationen waren von dieser Schwachstelle jedoch nicht betroffen.
Da wir uns insbesondere für die medizinischen Daten im D/A/CH Raum interessierten, betrachteten wir zunächst das AKH Wien und die medizinische Universität Wien mittels shodan. Dabei fiel uns auf, dass es tatsächlich keine DICOM Ports nach Aussen gab. Wir fanden jedoch eine Login-Seite für eine Software namens Spectrum. Bei dieser Software handelt es sich um die Aperio Spectrum Software.

Zitat der Webseite:

"Verwenden Sie wie mehrere Tausend andere Benutzer auch unsere kostenlos herunterladbare ImageScope-Ansichtssoftware, die schnellen Zugriff auf klare, farbechte digitale Objektträgeransichten bietet, mit Funktionen zum Vergrößern, Verschieben und Zoomen, Vergleichen verschiedener Färbungen, Kommentieren von Bildausschnitten, Bildanalyse und vieles mehr."

Aperio Spectrum

Bei dieser Software handelt es sich um eine Verwaltungssoftware zum Teilen von Objektträgerbildern (z.B. Bilder von Gewebeproben) und Kursen zu solchen Bildern insbesondere im Bereich der Pathologie.
Nachdem wir auf das Login der Software stießen, konnten wir duch einen Klick auf den Button "Help" den "Guest-Benutzer ausfindig machen.

In der Hilfeanleitung war der Login mittels Gast-Konto beschrieben.

Im Falle der medizinischen Universität Wien konnten wir hier keine Daten abfragen, da der Guest-Benutzer hierzu keine Rechte hatte. So versuchten wir, auch das Administrator Passwort zu finden. Mittels eines Google-Dorks konnten wir diesen Administrator-Login finden:

Im Installationsguide waren auch die Passwörter des Admins beschrieben:

Mit diesem Login war es uns nun möglich, uns bei der Spectrum Instanz der medizinischen Universität Wien anzumelden. Aus verständlichen Gründen haben wir an dieser Stelle die Daten unkenntlich gemacht:

Folgende Daten waren ersichtlich:

  • Fallnummer
  • Datum der Aufnahme
  • Teilweise klinische Geschichte
  • Bilder von Gewebeproben*
  • End-Diagnose
  • Teilweise Geburtsdatum der Patienten*
  • Geschlecht/Alter. weitere klinische Vorgeschichte
Zu den Fällen waren keine Namen vermerkt, die Daten waren also Anonym. Auch scheint es sich bei einige Daten um Beispiel-Fälle zu handeln (Datengruppe "Default"). Doch wie anonym sind derartige Daten ohne Namen?

Exkurs: Anonymität von Daten

Daten vollständig zu anonymisieren, kann sich als schwieriger herausstellen, als man denkt. Denn nur weil kein Name, keine Patienten- oder Versicherungsnummer vorhanden sind, sind die Daten nur formal Anonym. Faktisch oder komplett Anonym würde bedeuten, dass es keine Möglichkeit oder nur sehr schwere Möglichkeiten gibt, Personen wieder zu reidentifzieren.
Doch die vorhandenen Daten reichen in manchen Fällen aus, um einzelne Personen zu identifzieren - jedenfalls, und das mag bei derartigen Daten umso unangenehmer sein, wenn man die betreffende Person kennt. Anders gesagt, wie viele Personen kennst du die 50 Jahre alt sind? Wahrscheinlich mehrere. Allein mit dieser Angabe wäre es nicht möglich, zu erfahren ob es sich um die Person in diesem Datensatz handelt.
Aber: Wie viele Personen kennst du, die 50 Jahre alt sind, weiblich, am dd.mm.jjjj Geburtstag hatten und in einem Zeitraum von dd.mm.jjjj - dd.mm.jjjj im Krankenstand/Krankenhaus waren? Das wird schon enger. So könnte ein Arbeitgeber aus diesen Daten mit hoher Sicherheit auf die Person schließen, die in diesen Daten genannt werden. Weiß der AG nun beispielsweise, dass die Person im diesem Zeitraum im Krankenstand war und Alter, eventuell Geburtsdatum und Geschlecht auch passen, ist die Wahrscheinlichkeit sehr hoch, dass es sich hier um dieselbe Person handelt.

Die Daten sind, wie im Screenshot zu sehen, anonymisiert. Da wir jedoch administrative Rechte besaßen konnten (in diesem Fall könnten) wir weiter in das System vordringen.

Hier ist deutlich zu sehen, dass es sich um Netzwerkpfade handelt, die über die Software eingebunden werden. An dieser Stelle hätten wir die Möglichkeit Dateien aus dem internen Netzwerk zu exfiltrieren.

Um so Daten aus den Shares zu extrahieren, müsste man theoretisch nur die Dateinamen hinzufügen, was als Adminsitrator einfach möglich wäre. Der Upstream-Proxy würde in diesem Fall die Daten für uns aus dem Netzwerk extrahieren und uns zum Download anbieten:

Da wir jedoch keine Zugriffe auf das Netzwerk tätigen wollten, die den Betrieb der MedUni stören könnten brachen wir an dieser Stelle ab. Auch würde dieser Versuch über angemessenes Researching hinausgehen und wäre vermutlich strafbar.
Wir suchten mittels Shodan und Google nach weitere Instanzen von Spectrum und konnten auf weitere Patientendaten zugreifen. Wir versuchten die betroffenen Organisationen zu kontaktieren, leider war dies nicht immer erfolgreich. Im Falle des AKH Wien / MedUni Wien wurde die Schwachstelle innerhalb von wenigen Stunden behoben (System wurde offline genommen).

Veraltete Software

Viele Instanzen der Aperio Software liefen mit veralteten Software-Komponenten und hatten Zugriff auf interne Netzwerk-Shares. Da die Software außerdem das Einbinden von Netzwerk-Bildern erlaubt können so Daten exfiltriert werden. Die verwendeten Software-Komponenten hatten mehrere bekannte Schwachstellen. Dies könnte zu einer tiefergehenden Kompromittierung der Organisation führen.

Fazit

Medizinische Daten müssen deutlich besser geschützt werden. Wir konnten innerhalb weniger Stunden Zugriff auf einige Patientendaten erlangen. Derartige Daten sind besonders sensitiv, daher bedürfen Sie besonderem Schutz. Sollten Sie die hier genannte Software verwenden, lesen Sie bitte das nachfolgende Advisory.
Wir sind uns ebenfalls sicher, dass es weitere Nischensoftware gibt, die im medizinischen Bereich verwendet wird und Sicherheitslücken aufweist. Für uns bedeutet das weitere Forschungsarbeit um die Patientendaten zu sichern.

Ausblick - weitere Forschung

Wir werden weitere Forschung in diesem Bereich betreiben. Wir haben bereits eine neue Applikation identifiziert, der wir unsere Aufmerksamkeit im medizinischen Bereich widmen. Aufgrund der sensiblen Datenlage gilt hier selbstverständlich das Responsible Disclosure Prinzip, das bedeutet, wir werden keine Schwachstellen veröffentlichen bevor diese behoben wurden und die Patientendaten geschützt sind.

Verlauf Disclosure medizinische Universität Wien - Aperio Spectrum

  • 08.01.2020, 23:23: Meldung an MA01-Post/Datenschutzbeauftragten da nicht bekannt, wem dieses System gehört
  • 09.01.2020, 08:58: Rückmeldung: Unsere Meldung wurde weitergeleitet -> (Medizinische Universität Wien)
  • 10.01.2020, 20:00: Re-Check: System ist Offline
  • 11.01.2020: Wir finden weitere Instanzen im Internet und beginnen mit der Meldung an Betreiber

Advisory - Deutsch

Wir konnten einige Instanzen der Software "Aperio Spectrum" im Internet ausfindig machen, die schlecht bzw. schwach konfiguriert waren. Diese Instanzen waren mit Standard-Logins zugänglich und besaßen kritische Scwachstellen in verwendeten Software-Komponenten.
Auswirkung/Impact: Es könnten sensible, medizinische Patientendaten abgefragt werden. Unter Umständen (Administratorzugriff) ist es möglich, mit Hilfe der Software weitere Daten aus dem internen Netwzerk zu exfiltrieren.

Wenn Sie die Software "Aperio Spectrum" in Ihrem Netzwerk oder Ihrer Organisation verwenden, stellen Sie folgendes sicher:

  • Guest Account entfernen: Deaktivieren Sie den Gast-Account Ihrer Aperio Spectrum Software.
  • Administrator-Passwort ändern: Testen Sie, ob das Standard-Passwort des Administrators (Default-Login: "administrator:scanscope") geändert wurde. Sollte dies nicht der Fall sein, ändern Sie dieses Passwort umgehend!
  • Updates einspielen: Prüfen Sie, ob Ihre Spectrum Instanz aktuell ist. Wenn nicht, spielen Sie umgehend Updates ein!
  • Share Zugriff limitieren: Schränken Sie den Zugriff der/des Software/Servers auf jene Shares ein, die tatsächlich von der Software verwendet werden

Advisory - English

We have identified that multiple instances of Aperio Spectrum on the internet still are configured with default login.
Impact: It might be possible to gain access to sensitive medical information. In case of default-admin logon, it might be further possible to exfiltrate data from the internal network.

If you are running this software in your organisation, try the following to identify if you are affected:

  • Remove the Guest account: Try to Login with "guest" as username and no password. If you are using Aperio ImageScope disable the Guest account to secure your data.
  • Ensure that the default administrator password was changed: Try the default Login "administrator:scanscope". Change the admin password if necessary. Make sure the administraor password is strong.
  • Update your instance: Update your instance. Many instances we've found were running on deprecated software (PHP 5 and below)
  • Limit share access: Limit the access from the software/server to the needed network share ressources only

Labels

IT-Security Medical Data MedUni Wien Aperio Spectrum DICOM Patientendaten Medical Security
logo

SEC-Research

Social Links