Kurzmeldung: Schwachstellen in HP Multifunktionsdruckern

Kurzmeldung: Schwachstellen in HP Multifunktionsdruckern
Lesedauer: 3 Minuten.

Sicherheitsexperten haben wurmfähige Schwachstellen im physischen Zugriffsport (CVE-2021-39237) sowie im Font-Parsing (CVE-2021-39238) von HP-Multifunktionsdruckern entdeckt [FSE2021a]. Angreifer können die Schwachstellen ausnutzen, um die Kontrolle über ungeschützte Multifunktionsdrucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass weiterer Schaden angerichtet werden kann. Obwohl verschiedene Angriffsszenarien denkbar sind (z.B. Drucken via speziell präparierter USB-Sticks oder direkt über den physischen LAN-Port), erscheint ein sogenannter Cross-Site-Printing (XSP) Angriff für Angreifer die attraktivste Methode zu sein.

Dabei werden Mitarbeitende eines Unternehmens, z.B. durch Phishing-Mails, zum Besuch einer bösartigen Website verleitet. Dadurch können Angreifer das Netzwerk nach verwundbaren Multifunktionsdruckern scannen und mittels eines HTTP POST Requests an TCP-Port 9100 einen entsprechend präparierten Druckauftrag an das Gerät senden. Die in dem Dokument enthaltene schadhafte Schriftart ermöglicht es dem Angreifer im Nachgang weiteren Code, wie z.B. einen SOCKS Proxy, auf dem betroffenen Drucker auszuführen [FSE2021b]. Sollte dies einem Angreifer gelingen, könnte er nicht nur sensible Dokumente, die gedruckt, gescannt oder gefaxt werden, sondern auch sensible Informationen wie Zugangsdaten und Passwörter, über die das Gerät mit dem Rest des Netzwerkes verbunden sind, abfließen lassen oder manipulieren. Darüber hinaus kann ggf. weiterer Schadcode auf dem Drucker installiert werden, welcher sich dann wurmartig im Netzwerk ausbreitet, was je nach Netzwerkkonfiguration zu einer kompletten Kompromittierung des Netzwerks führen kann.

Bewertung

Seit mehreren Jahren ist bekannt, dass Netzwerkdrucker teils gravierende Schwachstellen aufweisen. Nicht zuletzt die unzureichenden Antworten der Hersteller darauf machen zusätzliche Maßnahmen auf Anwenderseite erforderlich. Im Gegensatz zu herkömmlichen Komponenten der Infrastruktur, beispielsweise Anwender-PCs oder Server, wird der Sicherheit dieser Geräte jedoch meist nicht genug Beachtung geschenkt. Dies zeigt z.B. die große Zahl von über das Internet erreichbaren Geräten.

Die Kritikalität eines Druckerangriffs hängt neben dem Schadenpotenzial der in einem Angriff (z.B. Information Disclosure, Code Execution) ausgenutzten Schwachstelle, auch von der jeweiligen Netzwerkumgebung ab. So könnte ein erfolgreich kompromittierter Drucker ggf. auch als Einfallstor und zur Übernahme weiterer Systeme im Netzwerk genutzt werden.

Maßnahmen

Das BSI empfiehlt, die durch den Hersteller zur Verfügung gestellten Sicherheitspatches zeitnah einzuspielen [HEP2021a] & [HEP2021b]. Zudem empfiehlt das BSI, für Drucker einen von Clients und Servern separierten Netzbereich zu verwenden. Dieser Netzbereich sollte von externen Netzen wie dem Internet separiert werden. Da mögliche Angriffe grundsätzlich auch aus dem internen Netz erfolgen können, müssen weitere Sicherheitsmaßnahmen umgesetzt werden. Beispielsweise sollte der administrative Zugang eingeschränkt werden und das Patchmanagement einer Organisation auch die Firmware von Druckern einschließen. Wie Sie Drucker und Multifunktionsgeräte in Ihrem Netzwerk grundsätzlich absichern können, finden Sie auf den folgenden verlinkten Webseiten [ACS2018] & [BSI2020].

Auch HP selbst stellt umfangreiche Best Practices für die Einrichtung von HP Multifunktionsdruckern zur Verfügung [HEP2021c]. Zusätzlich zum Einspielen der Patches, sollten weitere mögliche Maßnahmen zur Sicherung der Multifunktionsdrucker umgesetzt werden:

  • Keine grundsätzliche Freigabe von Drucken via USB
  • Einrichtung eines eigenen, abgetrennten VLANs mit Firewall
  • Einrichtung eines dedizierten Drucker-Servers, über den alle Druckaufträge abgewickelt werden
  • Verwendung von Sicherheitsetiketten, um physische Manipulationen an Geräten zu erkennen
  • Einsatz von Schlössern (z. B. Kensington-Schlösser), um den Zugriff auf Hardware zu kontrollieren
  • Einhaltung der Herstellerempfehlungen zur Verhinderung unbefugter Änderungen an den Sicherheitseinstellungen

 

Dieser Artikel beruht in Teilen auf einer Veröffentlichung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-548868-10M2.html

Ihr Ansprechpartner bei VINTIN

Michael Grimm

Mitglied der VINTIN Geschäftsführung

+49 (0)9721 67594 10

kontakt@vintin.de

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.

Zur Datenschutzerklärung

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.

Zur Datenschutzerklärung

Veranstaltungen
  • Keine Veranstaltungen