Samsung-Netzwerkdrucker mit Hintertür

Das US-CERT warnt vor einem Administrator-Account in Samsung-Druckern, der die volle Kontrolle über die Geräte ermöglicht. Es handelt sich dabei offenbar um einen fest einprogrammierten Community-String mit vollen Schreib/Leserechten für das Netzwerk-Management-Protokoll SNMP, der selbst dann aktiv ist, wenn man SNMP in der Verwaltungsoberfläche abgeschaltet hat.

Neben den Druckern selbst und den dort anfallenden Daten gefährdet diese Hintertür auch andere Systeme im Netz, da sich über sie beliebiger Code einschleusen und ausführen lässt. Somit könnten die Drucker zum Ausgangspunkt für weitere Angriffe werden, warnt das US-CERT.

Außer Samsung-Geräten sind anscheinend auch einige Drucker betroffen, die der koreanische Hersteller für Dell gefertigt hat. Modelle die nach dem 31. Oktober auf den Markt kamen, weisen diese Lücke jedoch anscheinend nicht mehr auf. Laut US-CERT will Samsung noch dieses Jahr ein Patch-Tool bereitstellen.

Update vom 28.11.2012, 10:45: Inzwischen kursieren auch die Details zur Lücke im Netz. Der Community-String lautet demnach "s!a@m#n$p%c".

2.Update, 29.112012, 17:15: In einer Stellungnahme erklärt Samsung, das Problem träte nur auf, wenn SNMP aktiviert ist; besorgte Anwender könnten sich demnach schützen, indem sie SNMPv1,2 deaktvieren beziehungsweise den sicheren SNMPv3-Modus nutzen. Für die Darstellung des US-CERT, das dies nicht genügt, spricht allerdings, dass der mittlerweile veröffentlichte Demo-Exploit keinen der Standard SNMP-Ports nutzt sondern über den UDP-Port 1118 kommuniziert. Als Workaround kann man den Zugang auf diesem Port blockieren. (ju)