Xerox bekommt Sicherheit seiner Druckgeräte nicht in Griff

Wissenschaftler des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben erneut Sicherheitslücken in Druckgeräten von Xerox gefunden. Wie bereits bei früheren Sicherheitslücken lässt sich darüber eine manipulierte Konfigurationsdatei einzuspielen. Sie ermöglicht dann Unbefugten weitreichenden Zugriff. Da in Firmen zahlreiche Dokumente mit vertraulichen Informationen zum Ausdruck an Drucker gesendet werden, in traditionellen Sicherheitskonzepten Druckgeräte oft nicht oder nur unzureichend berücksichtigt werden, lassen sich darüber schwerwiegende und oft lange unentdeckte Angriffe auf Unternehmensnetzwerke durchführen.

Im Auslieferungszustand ist der Xerox Phaser 6700 ein Sicherheitsrisiko fürs Firmennetzwerk (Bild: Xerox).

Die nun von den Fraunhofer-Wissenschaftlern gefundene Sicherheitslücke (PDF) nutzt vergleichbare Angriffswege wie ein bereits 2012 von Deral Heiland veröffentlichter Proof of Concept (PoC). Heiland machte sich damals eine Sicherheitslücke im Update-Mechanismus von Xerox-Druckern zunutze und erläuterte 2013 in dem Whitepaper “From Patched to Pwned” (PDF) die Hintergründe. Dem Fraunhofer FKIE gelang es nun nicht nur zu zeigen, dass die damals offengelegte Sicherheitslücke sich bei einigen Modellen von Xerox auch heute noch ausnutzen lässt, sondern fand auch Wege, Geräte wie den Xerox Phaser 6700, die mit aktualisierter Firmware kommen, erfolgreich anzugreifen.

“Mittels vergleichbar gelagerter Angriffswege konnte jedoch auch die neueste Firmware in bestimmten Konstellationen angegriffen werden. Im Zuge der Analysen hat sich weiter gezeigt, dass die Nutzerauthentifizierung nicht an allen Stellen fehlerfrei arbeitet. So ist es unter Umständen möglich, manipulierte Konfigurationsdateien einzuspielen, wenn dies eigentlich durch ein Admin-Passwort verhindert werden sollte. Ferner kann durch eine weitere Lücke beliebiger Code durch diese manipulierten Konfigurationsdateien ausgeführt werden”, teilen die Forscher mit.

Insgesamt kämpft Xerox damit nun schon seit zehn Jahren mit Sicherheitslücken in seinen Druckern. Bereits 2006 war es dem US-Sicherheitsexperten Brendan O’Connor gelungen, auf der Black-Hat-Konferenz die Kontrolle über ein Xerox-Gerät zu übernehmen. Mit dem gehackten Drucker konnte er den Aufbau des Firmennetzwerks ausspähen, und sich so wertvolle Informationen für weitere Angriffe verschaffen. Außerdem hatte er Zugriff auf alle Dokumente, die auf dem Gerät ausgedruckt, kopiert oder per Fax versendet wurden. Schließlich konnte er auch den Seitenzähler manipulieren.

2008 warnte die EU-Agentur für European Network and Information Security (ENISA) davor, dass Drucker und Kopierer mit Webzugang eine potenzielle Schwachstelle in Unternehmensnetzwerken sind. Hackern sei es darüber unter Umständen möglich, Daten auszuspionieren und Kundendaten zu stehlen. Die Agentur rief Unternehmen dazu auf, dieses Risiko nicht zu unterschätzen. Sie wies mit Besorgnis darauf hin, dass sich einer Umfrage zufolge damals gerade einmal die Hälfte der europäischen Unternehmen mit Maßnahmen beschäftigt, um den Missbrauch von Drucker- und Kopiergeräten zu unterbinden. Allerdings handelte es sich dabei in erster Linie um Maßnahmen, um den physischen Zugriff auf Ausdruck für Unbefugte zu verhindern.

Dass die Warnungen der ENISA nicht aus der Luft gegriffen waren, zeigte sich im Jahr darauf, als eine Lücke in HP-Druckern öffentlich bekannt wurde: Unbefugte konnten aufgrund einer Directory-Traversal-Lücke auf den integrierten Webserver in den HP-Geräten zugreifen, Pfadangaben manipulieren und bekamen so Zugang zu beliebigen Dateien und Verzeichnissen.

Xerox kündigte im Februar 2012 an, also noch bevor Deral Heiland seinen Proof of Concept veröffentlicht hatte, durch eine Technologiepartnerschaft mit Cisco und McAfee (das heute zu Intel gehört) seine Druckgeräte in Firmen absichern zu wollen. Dazu sollte einerseits die Cisco-Lösung TrustSec zur Verwaltung von Zugriffsrechten die Xerox-Druckgeräte – so wie andere Endgeräte auch – einbeziehen. Zudem sollte Software von McAfee in Endgeräte von Xerox integriert werden. Über ein Whitelisting-Verfahren wollten die Partner sicherstellen, dass nur erlaubte Dateien entsprechend geltender Regeln ausgegeben werden. So lange aber in der Firmware offenbar grundlegende Fehler und Schwächen stecken, bleiben die Bemühungen auf höheren Ebenen letztendlich nur Kosmetik.

Loading ...
Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

6 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

7 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

24 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago