Gefährliche Peripherie: Drucker und Co.
Drucker, insbesondere Multifunktionsgeräte, können eine leicht zu
übersehende Gefahr darstellen, und das gleich in mehrfacher Hinsicht.
Datenleck Drucker-Festplatte
Manche Drucker und Multifunktionsgeräte, aber auch z.B. digitale
Kopiergeräte, enthalten Festplatten zum Zwischenspeichern der zu druckenden
Dokumente, gescannten Seiten oder empfangenen Faxe. Wird das Gerät
ausgemustert, bleiben die letzten gespeicherten Daten auf der Festplatte
gespeichert. Je nachdem, was mit dem Gerät passiert, können diese u.U.
vertraulichen Daten in unbefugte Hände
gelangen.
Bevor ein Gerät mit Festplatte entsorgt oder verkauft wird, muss die
Festplatte genauso wie eine normale Rechner- oder Server-Festplatte
gelöscht oder ggf. zerstört werden.
Einfallstor Drucker
Drucker und Multifunktionsgeräte können zum Einfallstor ins
lokale Netz werden. Entweder, weil sie ungeschützt aus dem Internet
zugänglich sind, oder weil sie zwar mit einem Passwort geschützt
sind, Schwachstellen einem Angreifer aber trotzdem den Zugriff
ermöglichen.
Schwachstellen
Die Firmware, die die Geräte steuert, sowie der Webserver samt
Webanwendung, über die sie oft konfiguriert werden können,
können natürlich wie jede andere Software auch Schwachstellen
enthalten, über die ein Angreifer die Geräte kompromittieren oder
auf Daten auf den Geräten zugreifen kann. Einige willkürlich
ausgewählte Beispiele:
- Dezember 2002: Auf dem 19. Chaos Communication Congress (19C3)
wird von FX der Vortrag
“Attacking networked embedded systems”
gehalten. Thema u.a.: Die Ausnutzung von Designfehlern in HP-Druckern,
um sie als Angriffsplattform zu nutzen. - Dezember 2003: Eine
Directory-Traversal-Schwachstelle
im Webserver der Multifunktionsgeräte Xerox Document Centre 470, 255ST
und evtl. weiterer Modelle erlaubt den Zugriff auf alle Dateien auf dem
Gerät, darunter das Klartext-Passwort für den Webserver, sowie das
Lesen und Schreiben der HTTP-Benutzer und -Passwörter. - März 2004: Mehrere
Schwachstellen
in HPs Web Jetadmin zum Verwalten und Konfigurieren von Druckern im
Netzwerk erlauben das Herauf- und Herunterladen beliebiger Dateien und
das Einschleusen von Befehlen, die mit SYSTEM-Rechten ausgeführt
werden. Die Schwachstellen befinden sich zwar in einer
Windows-Software, aber die ist nur installiert, wenn es zugehörige zu
verwaltende Geräte gibt. - Juli/August 2006: Auf der Sicherheitskonferenz Black Hat USA 2006 hat
Brendan O’Connor
“Vulnerabilities in Not-So Embedded Systems”
vorgestellt (Präsentation als
PDF).
Thema waren Schwachstellen in den Xerox WorkCentre Multifunktionsgeräten,
über die ein Angreifer die Authentifizierung umgehen und
Shellbefehle einschleusen und so die Kontrolle über die Geräte übernehmen
kann. Xerox hat die Schwachstellen im Oktober 2006 behoben (Security
Bulletin als
PDF).
Im Dezember 2006 wurden weitere Schwachstellen, die ebenfalls die
Ausführung beliebiger Befehle erlauben, behoben (Security
Bulletin als
PDF). - September 2008: Xerox patcht eine Pufferüberlauf-Schwachstelle in
den WorkCentre-Multifunktionsgeräten, die die Ausführung beliebigen
Codes erlaubt (Security Bulletin als
PDF). - Februar 2009: HP
behebt
eine
Directory-Traversal-Schwachstelle
in bestimmten LaserJet und Color LaserJet Druckern und HP Digital
Sendern. - Oktober 2010: HP
veröffentlicht
ein Update, mit dem mehrere
XSS-Schwachstellen
in LaserJet und Color LaserJet Druckern behoben werden. - November 2010: HP
patcht
eine Directory-Traversal-Schwachstelle (Advisory als
PDF)
in der PCL-Implementierung der LaserJet MFP, HP Color LaserJet MFP und
bestimmten HP LaserJet Druckern. - März 2011: Xerox patcht eine Pufferüberlauf-Schwachstelle in der
Samba-Implementierung mehrerer WorkCentre-Modelle (Security Bulletin
als
PDF).
Ein Angreifer hätte darüber beliebigen Code einschleusen können.
Das ist nur eine kleine Auswahl, die zeigen soll, dass Schwachstellen in
Druckern und Multifunktionsgeräten ein altes Problem sind (das es auch
schon vor 2002 gab, aber die Liste sollte ja nicht zu lang werden), dass
sich auch nicht plötzlich in Luft auflösen wird. Ganz im
Gegenteil: Die Geräte werden von Computern gesteuert, die inzwischen
mit den Desktop-Rechnern von vor 10 Jahren locker mithalten können.
Und darauf läuft oft eine evtl. abgespeckte Version von Linux, so
dass die Geräte prinzipiell von den gleichen Schwachstellen betroffen
sind wie Linux selbst. So wurde z.B. die im März 2011 von Xerox
behobene Samba-Schwachstelle
CVE-2010-2063
in Samba selbst bereits im Juni 2010
behoben.
Angriff aus dem Internet
Die Geräte waren also 9 Monate möglichen Angriffen ungeschützt
ausgeliefert. Und das kann durchaus zu einem Problem werden, wie Deral
Heiland und Pete Arzamendi auf der Sicherheitskonferenz
Shmoocon 2011
und DefCon 2011 (Präsentation als
PDF)
gezeigt haben: Manche Geräte sind auch aus dem Internet heraus erreichbar,
und oft wird kein Passwort gesetzt, so dass die Geräte komplett
ungeschützt bzw. nur durch das meist allgemein bekannte Default-Passwort
“geschützt” sind. Das von Deral Heiland und Pete Arzamendi
entwickelte Tool
Praeda
nutzt einige bekannte Schwachpunkte bzw. -stellen, um sich von außen
Zugriff auf Drucker in einem LAN zu verschaffen. Von dort aus kann ein
Angreifer dann zu lokalen Rechnern vorstoßen.
Übrigens hat HongZheng Zhou von McAfee bei einem kurzen Test im März 2009
festgestellt,
dass fast 50 HP-Drucker mit der im Februar behobenen
Directory-Traversal-Schwachstelle über Google zu finden sind, und dass bei
den meisten das Firmware-Update nicht installiert war. Wann haben Sie denn
das letzte Mal geprüft, ob die Firmware Ihrer Geräte auf dem aktuellen
Stand ist? Oder ein Firmware-Update installiert?
Daten rein…
Einen anderen Angriff hat Ben Smith auf der Shmoocon 2011
präsentiert:
Sein Tool
printFS
dient der Suche nach aus dem Internet erreichbaren HP-Druckern, auf deren
internen Festplatten oder RAM-Disks Dateien gespeichert werden können. Auf
so einem “Cloud-Speicher” können dann z.B. illegale Daten gespeichert
werden.
Daten raus…
Michael Sutton von Zscaler Labs hat
beschrieben,
wie auf die Scanner von HPs Multifunktionsgeräten aus den Internet
zugegriffen werden kann, um dann z.B. automatisch eine Kopie jedes Scans
an die Angreifer
zu schicken.
“Kurioses”
Nadeldrucker haben durchaus Vorteile, z.B. wenn Formulare oder
andere Dokumente mit Durchschlägen gedruckt werden müssen, aber auch einen
Nachteil: Sie sind laut. So laut, dass anhand der Druckgeräusche der
gedruckte Text
ermittelt werden kann.
Und Spam kommt nicht nur auf digitalen Weg, Adam Weaver hat mit “Cross
Site Printing”
(PDF)
eine neuen Methode zur Spam-Verbreitung beschrieben: Die Spammer präparieren
Webseiten so, dass sie ihren Werbemüll auf den Druckern der Besucher der
Webseite ausdrucken.
Schutzmaßnahmen
Drucker und Co. müssen, sofern sie “intelligent” sind, genauso wie normale
Rechner vor Angriffen geschützt werden. Mit anderen Worten: Verwenden Sie
ein sicheres Passwort, halten Sie die Software (bzw. in diesem Fall die
Firmware) aktuell – und verbinden Sie die Geräte nur mit dem Internet,
wenn Sie wirklich aus dem Internet darauf zugreifen wollen. Dann gehört das
Gerät aber in die
DMZ
und nicht ins lokale Netz.
Hiermit ist der Themenkomplex “Angriffe auf und über
Peripherie-Geräte” zumindest vorerst abgeschlossen. Ab der nächsten
Folge gibt es einen Überblick über neue Entwicklungen, die auf den
verschiedenen Sicherheitskonferenzen im Laufe des Jahres vorgestellt
wurden. Um gefährliche Peripherie geht es erst später wieder, und zwar
um
Thunderbolt.
Übersicht über alle Artikel zum Thema
- Gefährliche Peripherie: Firewire
- Gefährliche Peripherie: USB
- Gefährliche Peripherie: USB – Stick weg, Daten weg
- Gefährliche Peripherie: USB – Weitere Angriffe und Gegenmaßnahmen
- Gefährliche Peripherie: Drucker und Co.
- Gefährliche Peripherie: Thunderbolt
- Gefährliche Peripherie: USB – Bösartige Ladegeräte
- Gefährliche Peripherie: USB – Zweckentfremdete Anschlüsse und mehr
- BadUSB – Ein Angriff, der dringend ernst genommen werden sollte
Trackbacks
Keine Trackbacks
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt