Xerox bekommt Sicherheit seiner Druckgeräte nicht in Griff

Wissenschaftler des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben erneut Sicherheitslücken in Druckgeräten von Xerox gefunden. Wie bereits bei früheren Sicherheitslücken lässt sich darüber eine manipulierte Konfigurationsdatei einzuspielen. Sie ermöglicht dann Unbefugten weitreichenden Zugriff. Da in Firmen zahlreiche Dokumente mit vertraulichen Informationen zum Ausdruck an Drucker gesendet werden, in traditionellen Sicherheitskonzepten Druckgeräte oft nicht oder nur unzureichend berücksichtigt werden, lassen sich darüber schwerwiegende und oft lange unentdeckte Angriffe auf Unternehmensnetzwerke durchführen.

Die nun von den Fraunhofer-Wissenschaftlern gefundene Sicherheitslücke (PDF) nutzt vergleichbare Angriffswege wie ein bereits 2012 von Deral Heiland veröffentlichter Proof of Concept (PoC). Heiland machte sich damals eine Sicherheitslücke im Update-Mechanismus von Xerox-Druckern zunutze und erläuterte 2013 in dem Whitepaper “From Patched to Pwned” (PDF) die Hintergründe. Dem Fraunhofer FKIE gelang es nun nicht nur zu zeigen, dass die damals offengelegte Sicherheitslücke sich bei einigen Modellen von Xerox auch heute noch ausnutzen lässt, sondern fand auch Wege, Geräte wie den Xerox Phaser 6700, die mit aktualisierter Firmware kommen, erfolgreich anzugreifen.

“Mittels vergleichbar gelagerter Angriffswege konnte jedoch auch die neueste Firmware in bestimmten Konstellationen angegriffen werden. Im Zuge der Analysen hat sich weiter gezeigt, dass die Nutzerauthentifizierung nicht an allen Stellen fehlerfrei arbeitet. So ist es unter Umständen möglich, manipulierte Konfigurationsdateien einzuspielen, wenn dies eigentlich durch ein Admin-Passwort verhindert werden sollte. Ferner kann durch eine weitere Lücke beliebiger Code durch diese manipulierten Konfigurationsdateien ausgeführt werden”, teilen die Forscher mit.

Insgesamt kämpft Xerox damit nun schon seit zehn Jahren mit Sicherheitslücken in seinen Druckern. Bereits 2006 war es dem US-Sicherheitsexperten Brendan O’Connor gelungen, auf der Black-Hat-Konferenz die Kontrolle über ein Xerox-Gerät zu übernehmen. Mit dem gehackten Drucker konnte er den Aufbau des Firmennetzwerks ausspähen, und sich so wertvolle Informationen für weitere Angriffe verschaffen. Außerdem hatte er Zugriff auf alle Dokumente, die auf dem Gerät ausgedruckt, kopiert oder per Fax versendet wurden. Schließlich konnte er auch den Seitenzähler manipulieren.

2008 warnte die EU-Agentur für European Network and Information Security (ENISA) davor, dass Drucker und Kopierer mit Webzugang eine potenzielle Schwachstelle in Unternehmensnetzwerken sind. Hackern sei es darüber unter Umständen möglich, Daten auszuspionieren und Kundendaten zu stehlen. Die Agentur rief Unternehmen dazu auf, dieses Risiko nicht zu unterschätzen. Sie wies mit Besorgnis darauf hin, dass sich einer Umfrage zufolge damals gerade einmal die Hälfte der europäischen Unternehmen mit Maßnahmen beschäftigt, um den Missbrauch von Drucker- und Kopiergeräten zu unterbinden. Allerdings handelte es sich dabei in erster Linie um Maßnahmen, um den physischen Zugriff auf Ausdruck für Unbefugte zu verhindern.

Dass die Warnungen der ENISA nicht aus der Luft gegriffen waren, zeigte sich im Jahr darauf, als eine Lücke in HP-Druckern öffentlich bekannt wurde: Unbefugte konnten aufgrund einer Directory-Traversal-Lücke auf den integrierten Webserver in den HP-Geräten zugreifen, Pfadangaben manipulieren und bekamen so Zugang zu beliebigen Dateien und Verzeichnissen.

Xerox kündigte im Februar 2012 an, also noch bevor Deral Heiland seinen Proof of Concept veröffentlicht hatte, durch eine Technologiepartnerschaft mit Cisco und McAfee (das heute zu Intel gehört) seine Druckgeräte in Firmen absichern zu wollen. Dazu sollte einerseits die Cisco-Lösung TrustSec zur Verwaltung von Zugriffsrechten die Xerox-Druckgeräte – so wie andere Endgeräte auch – einbeziehen. Zudem sollte Software von McAfee in Endgeräte von Xerox integriert werden. Über ein Whitelisting-Verfahren wollten die Partner sicherstellen, dass nur erlaubte Dateien entsprechend geltender Regeln ausgegeben werden. So lange aber in der Firmware offenbar grundlegende Fehler und Schwächen stecken, bleiben die Bemühungen auf höheren Ebenen letztendlich nur Kosmetik.