Hacker-Aktion belegt schlechte Absicherung von 150.000 Netzwerkdruckern

Der Hacker “Stackoverflowin” hat offenbar die von Forschern der Ruhruniversität Bochum kürzlich dokumentierte Schwachstelle in netzwerkfähigen Druckern zahlreicher Hersteller erfolgreich in großem Stil ausnutzen können. Als Beleg dafür, dass er zumindest vorübergehend die Kontrolle über mehr als 150.000 Geräte übernehmen konnte, hat er auf ihnen eigenen Angaben von ihm verfasste Nachrichten darauf ausgedruckt.

Im Gespräch mit Bleeping Computer erklärt “Stackoverflowin”, dass er mit der Aktion Nutzer darauf aufmerksam machen wollte, dass ihre Geräte nicht sicher sind. Bereits mit einigen der ausgedruckten Nachrichten forderte er die Besitzer der Drucker auf, offene Netzwerkports zu schließen. Die meisten der Nachrichten hätten zudem Informationen enthalten, wie man den Hacker per E-Mail oder Twitter kontaktieren kann.

Eine Studie der drei Wissenschaftler Jens Müller, Vladislav Mladenov und Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum hatte kürzlich eine umfassendere Diskussion zu der Frage ausgelöst, wie sicher Netzwerkdrucker sind. Müller, Mladenov und Somorovsky hatten in ihrer Untersuchung zunächst einmal zahlreiche früher entdeckte Lücken dokumentiert und dann ein Printer Exploitation Toolkit (PRET) genanntes Werkzeug entwickelt.

Mit dessen Hilfe lässt sich per USB oder auch über das Internet eine Verbindung zu einem Drucker herstellen und können Schwachstellen in den gebräuchlichen Druckersprachen wie PostScript und PJL ausgenutzt werden. Den Forschern zufolge sind diese Schwachstellen eigentlich schon seit mehreren Jahren bekannt, wurden aber bislang noch nicht behoben. “Es gibt noch nicht viele wissenschaftliche Publikationen darüber, obwohl die Gefahren von Druckersprachen wie PostScript irgendwie seit Jahrzehnten bekannt sind”, so Müller. Eine Anfrage von silicon.de zu dem Thema hat Adobe, von dem PostScript stammt, bislang nicht beantwortet.

Im Rahmen der Bochumer Studie waren Geräte von HP, Brother, Lexmark, Dell, Kyocera, Samsung, Konica Minolta und Oki getestet worden. Die wesentlichen Lücken steckten allerdings nicht in der Firmware oder der Architektur der Drucker, sondern eben in den verwendeten Druckersprachen. Daher sind die getesteten, teilweise schon recht alten Modelle eher als Beispiele zu sehen, nicht als komplette Liste angreifbarer Geräte. Weitere Stichproben im Anschluss an die Studie belegten das. Vor Veröffentlichung ihrer Ergebnisse hatten die Bochumer Forscher übrigens alle Hersteller, deren Geräte sie getestet hatten kontaktiert, allerdings nur von Dell eine Antwort erhalten.

Mit seiner Attacke hat “Stackoverflowin” nun eigenen Aussagen zufolge Druckgeräte von HP, Brother, Canon, Epson, Lexmark und Konica Minolta über Port 9100 angegriffen. Das deutet darauf hin, dass die gekaperten Druckgeräte in wenig oder schlecht gesicherten Netzwerken standen, denn der könnte beispielsweise in einem Router geschlossen werden. Auch der Rat von Sicherheitsexperten und Druckerherstellern, die Konfigurationseinstellungen netzwerkfähiger Drucker mit einem Passwort zu schützen, wurde bei den nun angegriffenen Geräten offenbar nicht befolgt.

Dass die meisten Druckgeräte nur schwach gesichert und im Auslieferungszustand recht angreifbar sind, räumen hinter vorgehaltener Hand die meisten Hersteller ein. Sie geben aber vielfach Hinweise, wie sich die Geräte bei der Integration in ein Netzwerk individuell absichern lassen. HP Inc. legt seit einiger Zeit besonderen Wert darauf, aber auch (Brother), Lexmark (Empfehlungen als PDF), Kyocera (Kyocera-Whitepaper zur Druckersicherheit als PDF) und Samsung (Samsung-Whitepaper zur Druckersicherheit als PDF) geben entsprechende Empfehlungen.

[mit Material von Stefan Beiersmann, ZDNet.de]