Medical IT: Patientendaten im Netz

15. Jänner 2020

Das Advisory befindet sich am Ende dieser Seite – klicken Sie hier um dorthin zu springen.
If you are looking for the advisory regarding Aperio Spectrum, please click here.

Medizinische Daten und das Internet

Medizinische Daten im Internet hinterlassen oft ein mulmiges Gefühl bei den betroffenen Patienten – sind die Daten ausreichend gesichert? Wer kann meine Daten sehen? Wir haben versucht mit einfachen Mitteln an medizinische Daten zu kommen – mit Erfolg. In weniger als 48 Stunden konnten wir mehrere hundert Patientendaten laden und fanden Schwachstellen in Nischen-Software, die in Krankenhäusern verwendet wird.

Einleitung

Zunächst suchten wir mittels Shodan nach den bekannten Schwachstellen bei Geräten, die den DICOM Standard zum Datenaustausch verwenden. Hier wurden wir bereits bei den ersten Ergebnissen fündig – eine Klinik in den USA hatte mehrere Geräte mit diesem geöffneten Port im Internet. Wir konnten Daten der Patienten abfragen und herunterladen. Nach unserer Meldung an den Betreiber der Klinik wurde das Problem innerhalb von 4 Stunden gelöst.

Die betroffene Organisation hat sich bei uns gemeldet. Nach Rücksprache mit der betroffenen Organisation sehen wir hier auf deren ausdrückliche Bitte von einer Datenveröffentlichung und Namensnennung ab.

https://sec-research.com/assets/img/articles/1578938842-blog-medical-it-viele-patientendaten-im-netz/mail-screenshot.jpeg

Es steht jedoch ausser Frage, dass noch sehr viele Patientendaten via DICOM im Internet zugänglich sind – jedoch unserer Analyse nach nicht in Österreich:

Port 104 - DICOM in shodan

Diese Schwachstelle wurde bereits von Greenbone Security gefunden, österreichische Organisationen waren von dieser Schwachstelle jedoch nicht betroffen.
Da wir uns insbesondere für die medizinischen Daten im D/A/CH Raum interessierten, betrachteten wir zunächst das AKH Wien und die medizinische Universität Wien mittels shodan. Dabei fiel uns auf, dass es tatsächlich keine DICOM Ports nach Aussen gab. Wir fanden jedoch eine Login-Seite für eine Software namens Spectrum. Bei dieser Software handelt es sich um die Aperio Spectrum Software.

Aperio Spectrum/ImageScope Login Maske

Zitat der Webseite:

Verwenden Sie wie mehrere Tausend andere Benutzer auch unsere kostenlos herunterladbare ImageScope-Ansichtssoftware, die schnellen Zugriff auf klare, farbechte digitale Objektträgeransichten bietet, mit Funktionen zum Vergrößern, Verschieben und Zoomen, Vergleichen verschiedener Färbungen, Kommentieren von Bildausschnitten, Bildanalyse und vieles mehr.

Aperio Spectrum

Bei dieser Software handelt es sich um eine Verwaltungssoftware zum Teilen von Objektträgerbildern (z.B. Bilder von Gewebeproben) und Kursen zu solchen Bildern insbesondere im Bereich der Pathologie.
Nachdem wir auf das Login der Software stießen, konnten wir duch einen Klick auf den Button “Help” den “Guest-Benutzer ausfindig machen.

In der Hilfeanleitung war der Login mittels Gast-Konto beschrieben.

K, thx, bye.

Im Falle der medizinischen Universität Wien konnten wir hier keine Daten abfragen, da der Guest-Benutzer hierzu keine Rechte hatte. So versuchten wir, auch das Administrator Passwort zu finden. Mittels eines Google-Dorks konnten wir diesen Administrator-Login finden:

Google Suche nach Installation Guide

Im Installationsguide waren auch die Passwörter des Admins beschrieben:

administrator:scanscope - der Standard Admin-Login

Mit diesem Login war es uns nun möglich, uns bei der Spectrum Instanz der medizinischen Universität Wien anzumelden. Aus verständlichen Gründen haben wir an dieser Stelle die Daten unkenntlich gemacht:

Fälle im Spectrum des AKH Wien / MedUni Wien

Folgende Daten waren ersichtlich:

  • Fallnummer
  • Datum der Aufnahme
  • Teilweise klinische Geschichte
  • Bilder von Gewebeproben*
  • End-Diagnose
  • Teilweise Geburtsdatum der Patienten*
  • Geschlecht/Alter. weitere klinische Vorgeschichte

Zu den Fällen waren keine Namen vermerkt, die Daten waren also Anonym. Auch scheint es sich bei einige Daten um Beispiel-Fälle zu handeln (Datengruppe “Default”). Doch wie anonym sind derartige Daten ohne Namen?

Exkurs: Anonymität von Daten

https://sec-research.com/assets/img/articles/1578938842-blog-medical-it-viele-patientendaten-im-netz/title_preview.png

Die Daten sind, wie im Screenshot zu sehen, anonymisiert. Da wir jedoch administrative Rechte besaßen konnten (in diesem Fall könnten) wir weiter in das System vordringen.

Slide Übersicht

Hier ist deutlich zu sehen, dass es sich um Netzwerkpfade handelt, die über die Software eingebunden werden. An dieser Stelle hätten wir die Möglichkeit Dateien aus dem internen Netzwerk zu exfiltrieren.

Neue Dateien referenzieren



Um so Daten aus den Shares zu extrahieren, müsste man theoretisch nur die Dateinamen hinzufügen, was als Adminsitrator einfach möglich wäre. Der Upstream-Proxy würde in diesem Fall die Daten für uns aus dem Netzwerk extrahieren und uns zum Download anbieten:

Da wir jedoch keine Zugriffe auf das Netzwerk tätigen wollten, die den Betrieb der MedUni stören könnten brachen wir an dieser Stelle ab. Auch würde dieser Versuch über angemessenes Researching hinausgehen und wäre vermutlich strafbar.
Wir suchten mittels Shodan und Google nach weitere Instanzen von Spectrum und konnten auf weitere Patientendaten zugreifen. Wir versuchten die betroffenen Organisationen zu kontaktieren, leider war dies nicht immer erfolgreich. Im Falle des AKH Wien / MedUni Wien wurde die Schwachstelle innerhalb von wenigen Stunden behoben (System wurde offline genommen).

Veraltete Software

Viele Instanzen der Aperio Software liefen mit veralteten Software-Komponenten und hatten Zugriff auf interne Netzwerk-Shares. Da die Software außerdem das Einbinden von Netzwerk-Bildern erlaubt können so Daten exfiltriert werden. Die verwendeten Software-Komponenten hatten mehrere bekannte Schwachstellen. Dies könnte zu einer tiefergehenden Kompromittierung der Organisation führen.

Fazit

Medizinische Daten müssen deutlich besser geschützt werden. Wir konnten innerhalb weniger Stunden Zugriff auf einige Patientendaten erlangen. Derartige Daten sind besonders sensitiv, daher bedürfen Sie besonderem Schutz. Sollten Sie die hier genannte Software verwenden, lesen Sie bitte das nachfolgende Advisory.
Wir sind uns ebenfalls sicher, dass es weitere Nischensoftware gibt, die im medizinischen Bereich verwendet wird und Sicherheitslücken aufweist. Für uns bedeutet das weitere Forschungsarbeit um die Patientendaten zu sichern.

Weitere Instanzen im Internet

Ausblick – weitere Forschung

Wir werden weitere Forschung in diesem Bereich betreiben. Wir haben bereits eine neue Applikation identifiziert, der wir unsere Aufmerksamkeit im medizinischen Bereich widmen. Aufgrund der sensiblen Datenlage gilt hier selbstverständlich das Responsible Disclosure Prinzip, das bedeutet, wir werden keine Schwachstellen veröffentlichen bevor diese behoben wurden und die Patientendaten geschützt sind.

Verlauf Disclosure medizinische Universität Wien – Aperio Spectrum

  • 08.01.2020, 23:23: Meldung an MA01-Post/Datenschutzbeauftragten da nicht bekannt, wem dieses System gehört
  • 09.01.2020, 08:58: Rückmeldung: Unsere Meldung wurde weitergeleitet -> (Medizinische Universität Wien)
  • 10.01.2020, 20:00: Re-Check: System ist Offline
  • 11.01.2020: Wir finden weitere Instanzen im Internet und beginnen mit der Meldung an Betreiber

Advisory – Deutsch

Wir konnten einige Instanzen der Software “Aperio Spectrum” im Internet ausfindig machen, die schlecht bzw. schwach konfiguriert waren. Diese Instanzen waren mit Standard-Logins zugänglich und besaßen kritische Scwachstellen in verwendeten Software-Komponenten.
Auswirkung/Impact: Es könnten sensible, medizinische Patientendaten abgefragt werden. Unter Umständen (Administratorzugriff) ist es möglich, mit Hilfe der Software weitere Daten aus dem internen Netwzerk zu exfiltrieren.

Wenn Sie die Software “Aperio Spectrum” in Ihrem Netzwerk oder Ihrer Organisation verwenden, stellen Sie folgendes sicher:

  • Guest Account entfernen: Deaktivieren Sie den Gast-Account Ihrer Aperio Spectrum Software.
  • Administrator-Passwort ändern: Testen Sie, ob das Standard-Passwort des Administrators (Default-Login: “administrator:scanscope”) geändert wurde. Sollte dies nicht der Fall sein, ändern Sie dieses Passwort umgehend!
  • Updates einspielen: Prüfen Sie, ob Ihre Spectrum Instanz aktuell ist. Wenn nicht, spielen Sie umgehend Updates ein!
  • Share Zugriff limitieren: Schränken Sie den Zugriff der/des Software/Servers auf jene Shares ein, die tatsächlich von der Software verwendet werden

Advisory – English

We have identified that multiple instances of Aperio Spectrum on the internet still are configured with default login.
Impact: It might be possible to gain access to sensitive medical information. In case of default-admin logon, it might be further possible to exfiltrate data from the internal network.

If you are running this software in your organisation, try the following to identify if you are affected:

  • Remove the Guest account: Try to Login with “guest” as username and no password. If you are using Aperio ImageScope disable the Guest account to secure your data.
  • Ensure that the default administrator password was changed: Try the default Login “administrator:scanscope”. Change the admin password if necessary. Make sure the administraor password is strong.
  • Update your instance: Update your instance. Many instances we’ve found were running on deprecated software (PHP 5 and below)
  • Limit share access: Limit the access from the software/server to the needed network share ressources only