Fernwartung CGM Turbomed mit AnyDesk

[m.seier]

Liebe Gemeinde.....
CGM nutzt für die Fernwartung (falls vorher erlaubt) AnyDesk. Jetzt geht durch die Presse, dass AnyDesk kompromittiert wurde.
Hat das Konsequenzen für installierte TM Versionen? Müssen die (schnellstmöglich?) aktualisiert werden. Von CGM ist davon noch nichts zu hören....

Also jetzt mal eine Baustelle der anderen Art .........

[Thomas]

Das sollte hier kein Problem sein.

1. Offenbar (nach aktuellem Kenntnisstand) ist "nur" das Kundenportal my.anydesk.com betroffen - das hat erst einmal nichts mit dem AnyDesk-Client von TM zu tun
2. (und das ist wohl der wichtigere Punkt) Der AnyDesk Client von TurboMed läuft ja nur, wenn man ihn manuell startet - und nach der Sitzung auch wieder beendet. Das sollte unkritisch sein.

[m.seier]

Oh, ja!
Vielen Dank für die Antwort.
Dann erstmal kein Handlungsdedarf.....

[nmndoc]

Nicht ganz so einfach ....

Das sollte hier kein Problem sein.

1. Offenbar (nach aktuellem Kenntnisstand) ist "nur" das Kundenportal my.anydesk.com betroffen - das hat erst einmal nichts mit dem AnyDesk-Client von TM zu tun

2. (und das ist wohl der wichtigere Punkt) Der AnyDesk Client von TurboMed läuft ja nur, wenn man ihn manuell startet - und nach der Sitzung auch wieder beendet. Das sollte unkritisch sein.

nein - nicht "nur" das Kundenportal (wobei hier mal die Frage wäre, was da so alles steht ... evtl. auch Vewaltung der Endkunden(Geräte)?) betroffen, sondern lt. BSI sollen "[...]interne Systeme kompromittiert worden seien. Dabei seien Quellcode und Zertifikate abgeflossen." - aus AnyDesk-Sicht schon eher etwas GAUiger ... denn:

"Das BSI glaubt, dass mit den abgeflossenen Informationen weiterführende Angriffe auf Kunden von Anydesk möglich seien. Die IT-Spezialisten schätzen etwa Man-in-the-Middle- sowie Supply-Chain-Angriffe als denkbar ein. Durch die abgeflossenen Zertifikate könne das sogar unbemerkt geschehen – oder sogar bereits geschehen und unentdeckt geblieben sein."

Dh - nicht die Arztpraxis wäre hier im esten Step nicht das Ziel (insofern "Entwarnung") - sondern CGM (insofern keine Entwarnung) - aber CGM ist ja sicher bestens geschützt - immerhin bietet man ja sogar Managed Security an ...


PS: sollen wohl auch o.g. Kundendaten bereits zum Verkauf angeboten worden sein ...


Quellen:
https://www.heise.de/news/Anydesk-Einbr ... 19601.html
https://www.heise.de/forum/heise-online ... 9/comment/

[Thomas]

nicht die Arztpraxis wäre hier im ersten Step das Ziel (insofern "Entwarnung")

Genau das hatte ich im Kopf. Wenn man versucht, eine Nachricht kurz zu fassen, gehen manche Details leider unter... Und unabhängig, welche Daten abgeflossen sind: Da in der Praxis der Anydesk-Client nur gelegentlich und ausschließlich durch manuelles Starten läuft, dürfte hier wirklich erst einmal kein Grund zur Panik vorliegen. Im Zweifelsfall soll die Praxis halt "CGM Remoteunterstützung" nicht starten und gut ist's.

[lcer]

Hallo,

Momentan ist nicht klar, wieweit Anydesk tatsächlich kompromittiert ist. Man liest von „Produktionssystemen“ und „Quellcode/Entwicklersysremen“. Daher würde ich zunächst auf Anydesk verzichten.

Bezüglich des Risikos „gehackt“ zu werden - der Anydesk-Account, über den die Fernwartung erfolgt, gehört CGM und nicht einer kleinen Arztpraxis. Zugang zu einem Angriffsvektor zu haben, der Marktführer? im Bereich Healthcare-IT ist, ist definitiv lukrativ. Ich würde mich daher nicht darauf verlassen, dass unsere Praxis zu klein ist, um betroffen zu sein.

Grüße

lcer

[lcer]

Hallo,

nur zur Info:
Die Datei C:\TurboMed\ExtPrg\Tools\CGM Remote Support\CGM_Remote_Support_Agent.exe hat eine Version von 5.4.0

Anydesk 5.4.0 ist vom November 2019. Die aktuelle Version wäre 8.0.8 siehe https://anydesk.com/en/changelog/windows

Es ist davon auszugehen, dass in der von CGM verwendeten Version weitere Sicherheitslücken klaffen.

Die Software selbst ist aber keine Malware. Ein Angriffsszenario müsste das Starten des CGM_Remote_Support_Agent.exe beinhalten und die Verbindung umleiten / aufbrechen.

Ich würde trotzdem empfehlen, Anydesk per Firewall zu blockieren und die Mitarbeiter zu schulen, dass Supportanrufe von CGM genauestens auf Authentizität überprüft werden.

Grüße

lcer

[MediIT]

Hallo,

Mit den Sonderupdate 24.1.2 wird die Version 5.4.0 ersetzt mit der Version 7.0.14.
Die Custom Clients werden über das AnyDesk Portal erzeugt auch wenn die CGM eine On-Premises Lösung hat, sind deren Clients auch aus den Portal.

Das schlimmere ist die Kommunikation seitens AnyDesk, hier rückt man nicht wirklich mit Informationen raus.

Viele Grüße

[lcer]

Hallo,

Mit den Sonderupdate 24.1.2 wird die Version 5.4.0 ersetzt mit der Version 7.0.14.

nun ja, ich meine die neuen Zertifikate sind erst ab Version 7.0.15 dabei ....

Und zur Kommunikation von AnyDesk ... Das ist eigentlich egal was die sagen. Bis alles komplett geklärt ist, sollte man es nicht verwenden.

Und zur Kommunikation von CGM: ich habe bisher keine offizielle CGM-Info gelesen.

Grüße

lcer

[MediIT]

Hallo,

selbst wenn die neuere Version kommt, würde das nicht bedeuten das AnyDesk angreifbar wäre. Das Zertifikat der EXE ist nur für die Integrität der Datei zuständig, d.h. wenn die Datei von der CGM das kompromittierte Zertifikat nutzt, müsste der Angreifer erstmal den Client austauschen und das wäre sehr unwahrscheinlich. Der AnyDesk Client wird mit der Installation von TurboMed geliefert.

Das einzige was dann passiert, ist das Windows/Antivirensoftwares diese Signatur blockieren, da diese Kompromittiert und daher nicht mehr als Sichere Herkunft der Datei verifiziert werden könnte.

Was der Hersteller sagt ist egal, aber die CGM soll Informationen liefern, nicht falsch verstehen ich möchte die CGM nicht verteidigen und ja
eine Info wäre notwendig.
Aber die CGM kann auch erst dann Informationen liefern wenn das der Hersteller macht.

Viele Grüße

[lcer]

Hallo,

Hallo,

selbst wenn die neuere Version kommt, würde das nicht bedeuten das AnyDesk angreifbar wäre. Das Zertifikat der EXE ist nur für die Integrität der Datei zuständig,

Es geht um dieVerbindungszertifikate für Clientauthentifizierung und Serverauthentifizierung. Die haben mit dem Software-Signaturzertifikat nichts zu tun. Wenn man im Besitz der passenden Zertifizikate (und deren privaten Schlüssel), kann man eine Verbindung zwischen TM-Remotesupport-Client und dem Bösewicht-Server herstellen, die aussieht, als wäre sie eine Verbindung zum TM-Support. Man muss natürlich noch den Router oder das DNS manipulieren… Ist sicher nicht trivial, aber machbar. Da nicht klar ist, ob der private Schlüssel der AnyDesk-Serverauthentifizierungszertifikate abhanden gekommen ist, kann Anydesk nur mit neuen Zertifikaten überhaupt als sicher angesehen werden.

Grüße

lcer

[FortiSecond]

https://www.cvedetails.com/vulnerabilit ... ydesk.html
Die alte 5.4 war auch schon seit 2021 "gelistet" (alles vor 6.3irgendwas).

Und wenn die Kunden jetzt nicht weglaufen, sondern reflexartig alle auf die neueste Version gehen (weil die alten nicht mehr funktionieren - Zertifikate!), dann fließen Lizenzgebühren.
VIelleicht wiegt das den Schaden auf.
Irgendwie erinnert mich eine solche Mentalität an... ach wer weiß das schon.

[nmndoc]

Ich würde trotzdem empfehlen, Anydesk per Firewall zu blockieren und die Mitarbeiter zu schulen, dass Supportanrufe von CGM genauestens auf Authentizität überprüft werden.

Also selbsttätige Support-Anrufe/-Angebote eines CGM-Mitarbeiters ... ? Das an sich wäre doch schon höchst verdächtig