Büro-Drucker mit löcheriger Firmware – Sicherheitsniveau wie vor Jahrzehnten

Inhaltsverzeichnis

Brother, HP, Kyocera, Lexmark, Ricoh und Xerox: Viele große Drucker-Hersteller schlampen offenbar beim Entwickeln ihrer Firmware. Anders ist es nicht zu erklären, dass Forscher der NCC Group durch simples Fuzzing – also automatisierte Tests – binnen kurzer Zeit rund 50 Schwachstellen in der Software fanden.

Einige von ihnen gelten als kritisch. Durch ihren Missbrauch lassen sich, teils aus der Ferne und ohne vorherige Authentifizierung, unter anderem Druckaufträge ausleiten, Geräte zeitweilig lahmlegen (Denial-of-Service) oder zu Angriffswerkzeugen machen.

Hinweise zu Sicherheitsupdates finden Anwender im letzten Abschnitt dieses Artikels.

Brother: Rund 300 verwundbare Modelle

Daniel Romero und Mario Rivas von der NCC Group fanden während ihres Vortrags auf der IT-Sicherheitskonferenz DEF CON 27 deutliche Worte: Der Stand der Sicherheit von Office-Druckern sei "sehr unausgereift". Unter anderem durch den Einsatz von "Fuzzowksi", einem selbst programmierten Fuzzer für das Protokoll Line Printing Daemon (LPD), hätten die Forscher die 50 teils schwerwiegenden Firmware-Bugs innerhalb kürzester Zeit gefunden. Danach stellten sie die Suche ein; allerdings seien sie sicher, dass bei höherem Zeitaufwand noch deutlich mehr Schwachstellen zu finden gewesen wären.

Besonders viele Druckermodelle mit verwundbarem Firmware-Code, nämlich stolze 300, meldete Brother: Der Hersteller veröffentlichte eine entsprechende Liste. Im Falle der übrigen Unternehmen sind jeweils nur ein oder einige wenige Drucker als angreifbar bekannt. Ob die niedrigen Zahlen tatsächlich aus einer geringeren Verwundbarkeit oder einer höheren Dunkelziffer resultieren, ist aber schwer zu sagen.

Gefährliche Zeitreise in die 90er

Auch die Liste der Probleme in den von Romero und Rivas ebenfalls untersuchten Webservices und -anwendungen (als Teil der Firmware) der Drucker ist lang. Sie reicht von ab Werk aktiven, teilweise ohne Authentifizierung zugänglichen Diensten über unverschlüsselte Kommunikation und Cross-Site-Scripting bis hin zu Cross-Site-Request-Forgery.

"Einige der Lücken ließen uns glauben, wieder zurück in den 90er Jahren zu sein", sagte Romero. Während einer Live-Demo griffen die Forscher von einem kompromittierten Drucker aus einen anderen an und gelangten durch das Auslesen des Speicherinhalts an sämtliche abgewickelte Druckjobs. Dieses Vorgehen umgeht die von den Herstellern teilweise kräftig beworbene verschlüsselte Übertragung zwischen Client und Drucker, die eingeführt wurde, um (zuvor sehr einfach auszuführende) Man-in-the-Middle-Attacken abzuwehren.

Unterschätzte IoT-Gefahren

Verschärft wird das Sicherheitsproblem dadurch, dass IT-Administratoren den Forschern zufolge Drucker stiefmütterlich behandeln und Updates oft stark zeitverzögert installieren. Außerdem sind nach wie vor zigtausende Drucker frei über das Internet zugänglich, wie Recherchen mit der Internet-of-Things-Suchmaschine Shodan zeigten. Da sich etliche der Bugs in den Web-Anwendungen der Drucker verstecken, ist ein Angriff aus der Ferne oftmals problemlos möglich.

Gegenüber Help Net Security wies ein NCC-Group-Mitarbeiter explizit darauf hin, dass (netzwerkfähige) Drucker von Unternehmen häufig nicht als IoT-Geräte betrachtet würden – einfach deshalb, weil es sie bereits seit Jahrzehnten gäbe.

Industriespione nutzen das aus: Schon seit einiger Zeit werden Drucker und andere schlecht gesicherte Geräte im Internet of Things (IoT) gezielt zum Eindringen in Unternehmensnetzwerke missbraucht. Darauf wies unter anderem Microsoft hin, dessen Security-Team seit April Angriffe der Bundestags-Hacker APT 28 alias Sofacy auf VoIP-Phones, Video-Abspielgeräte und eben auch auf Office-Drucker beobachtete.

Security-Advisories und Updates

Wie aus Security Advisories der NCC Group hervorgeht, informierten die Forscher die Hersteller im Februar dieses Jahres über die Schwachstellen.

Brother, HP und Lexmark haben demnach Firmware-Updates veröffentlicht. Besonders positiv äußerten sich die Forscher in diesem Zusammenhang über die Zusammenarbeit mit Lexmark und den flüssigen Patch-Prozess. Für Kyocera, Ricoh und Xerox nennen die Advisories dagegen noch keine Patches, obgleich die Forscher ab Februar mit ihnen in E-Mail-Kontakt standen.

Proof-of-Concept-Code zu den Schwachstellen soll in allen Fällen erst zu einem späteren Zeitpunkt veröffentlicht werden – idealerweise dann, wenn Updates bereitstehen und auf den meisten Geräten installiert wurden.

Informationen zu verwundbaren Druckermodellen und Updates:

• Brother: NCC-Group-Advisory / Sicherheitshinweis von Brother / Liste der betroffenen Modelle
• HP: NCC-Group-Advisory (darin verlinkt: HP-Sicherheitshinweise)
  
• Kyocera: NCC-Group-Advisory
  
• Lexmark: NCC-Group-Advisory (darin verlinkt: Lexmark-Sicherheitshinweise)
• Ricoh: NCC-Group-Advisory
  
• Xerox: NCC-Group-Advisory
  

Update 19.08.19, 10:23: Xerox hat via E-Mail an heise Security mitgeteilt, dass das Unternehmen unverzüglich mit dem Bugfixing begonnen habe, nachdem es von der NCC Group informiert wurde. Updates für das von NCC für verwundbar befundene Druckermodell Phaser 3320 stehen bereit. Xerox empfiehlt aber auch Besitzern anderer Modelle, auf der Hersteller-Website (regelmäßig) nach verfügbaren Updates Ausschau zu halten. (ovw)