Machine Spirits Logo
Alle Sicherheitshinweise

med-united epa4all

TLS-Zertifikatsprüfung deaktiviert

Die Anwendung deaktiviert die TLS-Zertifikatsprüfung auf ihren ausgehenden Verbindungen. Ein Angreifer im Netzwerkpfad zwischen epa4all und seinen Backends — dem ePA-Aktensystem, dem IDP oder dem Konnektor — kann ein beliebiges Zertifikat präsentieren, auch ein selbstsigniertes, und den Verkehr abfangen.

Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.

Verfasst vonChiara Fliegner, Volker Schönefeld, Simon Weber2026-05-20
SchweregradHochCVSS 8.1CVSS-3.1-VektorAV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NCWECWE-295 (Improper Certificate Validation)Produktmed-united epa4allBetroffene Versionen1.0.0-SNAPSHOT (alle Builds vor dem Fix vom 20.05.2026)Behoben inBehoben am 20.05.2026 (ergänzt Hostname- und Zertifikatsprüfungen sowie einen Keystore auf Basis der Telematik-TSL).GHSAGHSA-vvh7-x6c7-46gh

Beschreibung

Laut der Veröffentlichung des Herstellers initialisiert die Anwendung ihren TLS-Stack mit deaktivierter Zertifikatsprüfung und akzeptiert auf ihren ausgehenden Verbindungen jedes Server-Zertifikat.

Ein Angreifer im Netzwerkpfad zwischen epa4all und dem ePA-Backend kann ein beliebiges Zertifikat — selbstsigniert, abgelaufen oder mit falschem Hostnamen — präsentieren, die TLS-Verbindung terminieren und den Verkehr weiterleiten. Im Bereitstellungsmodell des Produkts (ein On-Premise-Container in einer Arztpraxis) ist der Angreifer jedes Gerät im Praxisnetz.

Auswirkung

  • Ein Netzwerkangreifer zwischen epa4all und seinen Backends kann den ausgehenden Verkehr mitlesen und verändern, einschließlich Versichertenkennungen, Dokumenteninhalten und Credential-Austausch. In Kombination mit der fehlenden VAU-Server-Prüfung wird das ePA-Backend weder auf Transport- noch auf Anwendungsebene authentifiziert.

Abhilfe

Aktualisieren Sie auf einen Build vom 20.05.2026 oder später, der die Zertifikats- und Hostname-Prüfung wiederherstellt und die gematik TI-PKI über einen Telematik-TSL-basierten Keystore verankert. Für betroffene Builds existiert kein Workaround.

Referenzen

So können wir helfen

Wer wir sind

Die Sicherheitsforscher hinter diesem Sicherheitshinweis.

Dr. Simon Weber Profile

Dr. rer. nat. Simon Weber

Senior Pentester & MedSec-Forscher

Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.

  • Promotion über Krankenhaus-Cybersicherheit
  • Kritische Schwachstellen in Krankenhaussystemen gefunden
  • Alumni der THB MedSec-Forschungsgruppe
  • gematik Security Hero
Volker Schönefeld Profile

Dipl.-Inf. Volker Schönefeld

Senior Application Security Expert

Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.

  • 20+ Jahre als CTO, 50+ Mio. App-Downloads
  • Architektur und Absicherung großer IoT-Flotten
  • Certified Web Exploitation Specialist
  • gematik Security Hero
Vollständige Team-Profile ansehen

Penetrationstest gesucht?

Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.

Kontakt aufnehmenMehr über unsere Leistungen erfahren