© Andriy Popov / 123RF.com

Aktuell lassen sich mehrere Schwachstellen in zahlreichen Druckermodellen ausnutzen. Angreifer könnten sich damit Zugang zu Netzwerk und Daten verschaffen.

Sicherheitsforscher haben schwerwiegende Sicherheitslücken in insgesamt 748 Multifunktionsdruckern, Scannern und Etikettendruckern von fünf Herstellern aufgedeckt [1]: Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta. Die acht dokumentierten Schwachstellen betreffen zentrale Netzwerkdienste wie HTTP, HTTPS und IPP, über die die Geräte mit anderen Systemen kommunizieren. HTTP ist das grundlegende Protokoll für die Übertragung von Webseiten, während HTTPS eine verschlüsselte und damit sicherere Variante darstellt. IPP (Internet Printing Protocol) ermöglicht das Drucken über ein Netzwerk und ist daher eine zentrale Schnittstelle in modernen Druckumgebungen. Angreifer, die die Schwachstellen ausnutzen, können danach nicht nur auf die Drucker selbst zugreifen, sondern auch auf das angebundene Unternehmensnetzwerk.

Im Fokus steht insbesondere die Sicherheitslücke CVE-2024-51978, die es Angreifern erlaubt, sich ohne gültige Zugangsdaten als Administrator auszugeben und dadurch vollständige Kontrolle über das Gerät zu erlangen. Die kritische Lücke baut auf einer weiteren Schwachstelle auf, CVE-2024-51977, über die Angreifer zunächst an die Seriennummer des Geräts gelangen können. Die Schwachstelle erlaubt das Auslesen der Seriennummer über unsichere Netzwerkdienste. Dazu gehören PJL (Printer Job Language), eine Befehlssprache zur Steuerung von Druckern, und SNMP (Simple Network Management Protocol), ein standardisiertes Protokoll zur Überwachung und Konfiguration von Netzwerkgeräten wie Druckern, Routern oder Switches.

Sobald ein Angreifer die Seriennummer kennt, kann er daraus ein Standardpasswort ableiten und mithilfe von CVE-2024-51978 ein gültiges Administratorpasswort erzeugen. Damit erhält er uneingeschränkten Zugriff auf das Gerät: Er kann es umkonfigurieren, neue Passwörter setzen oder geschützte Funktionen verwenden, die eigentlich nur autorisierten Nutzern offenstehen. Besonders brisant ist, dass sich das Standardkennwort bei bestimmten Modellen (etwa von Brother) nicht per Firmware-Update deaktivieren lässt.

Weitere Schwachstellen wie CVE-2024-51979, -51982 und -51983 betreffen die Speicherverwaltung der Geräte. Angreifer können damit gezielt Pufferüberläufe (Buffer Overflows) auslösen. Dabei werden mehr Daten in einen Speicherbereich geschrieben, als dieser aufnehmen kann. Solche Fehler können dazu führen, dass Geräte abstürzen oder in bestimmten Fällen sogar Schadcode ausführen. Besonders kritisch ist auch CVE-2024-51984. Über die zugehörige Lücke können Angreifer auf Zugangsdaten zu externen Diensten wie LDAP oder FTP zugreifen. Das Lightweight Directory Access Protocol LDAP wird in vielen Unternehmen verwendet, um auf zentrale Benutzerverzeichnisse zuzugreifen, zum Beispiel zur Authentifizierung beim Anmelden an Computern oder E-Mail-Diensten. FTP (File Transfer Protocol) ist ein etabliertes Netzwerkprotokoll zur Übertragung von Dateien. Durch das Abgreifen solcher Zugangsdaten könnten Angreifer tief in das interne Netzwerk eindringen und sensible Daten abfangen oder manipulieren.

Inzwischen wurde zudem bekannt, dass diese Schwachstellen nicht nur theoretisch existieren, sondern aktiv von Angreifern ausgenutzt werden. Das Open-Source-Sicherheitsprojekt CrowdSec [2], das ein sogenanntes Intrusion Prevention System betreibt, hat seit Mitte Juli gezielte Angriffsversuche auf Drucker beobachtet, insbesondere über CVE-2024-51977. CrowdSec analysiert eingehende Angriffe anhand verdächtiger IP-Adressen und hat eine öffentliche Website mit einer Zeitachse der Exploit-Versuche eingerichtet. Diese sogenannte Exploit Timeline zeigt, dass es seit Juli täglich Angriffe auf verwundbare Geräte gab.

Laut CrowdSec lassen sich unterschiedliche Angreifergruppen identifizieren. Einige von ihnen versuchen offenbar gezielt, über die Schwachstellen in Unternehmensnetzwerke einzudringen. Andere verfolgen automatisierte Strategien mit dem Ziel, Bot-Netze aus IoT-Geräten (Drucker, Kameras, Thermostate oder Türschlösser) aufzubauen. Werden solche Geräte kompromittiert, lassen sie sich vernetzen und fernsteuern, etwa für Distributed-Denial-of-Service-Angriffe (DDoS). Bei einem DDoS-Angriff wird ein Zielserver mit einer Vielzahl von Anfragen überflutet, sodass er überlastet wird und legitime Nutzer keinen Zugriff mehr erhalten. (jcb)