Firmware-Updates für Multifunktionsdrucker von HP schließen teils kritische Sicherheitslecks, die Wurm-Potenzial haben und die Netzwerksicherheit gefährden.
Sicherheitsforscher haben in der Firmware von zahlreichen HP-Multifunktionsdruckern unter anderem kritische Sicherheitslücken entdeckt. Durch eine der Schwachstellen könnten Angreifer beliebigen Schadcode einschleusen. Außerdem könnten sich Cyberkriminelle im Netzwerk einnisten oder sich Schadcode wurmartig von Drucker zu Drucker verbreiten. Zudem könnten dadurch Informationen abfließen. HP stellt für mehr als 100 betroffene Drucker-Modelle Firmware-Updates bereit. Nach jetzigem Stand haben die Forscher keine Hinweise gefunden, dass die Lücken bereits ausgenutzt wurden.
An den Drucker als Einfallstor in das lokale Netzwerk für Einbrecher oder Schadsoftware denken die Wenigsten. Für gewöhnlich werden Drucker beim Patchmanagement deshalb auch nicht berücksichtigt. Dabei stecken insbesondere in den größeren Multifunktionsgeräten, die etwa ganzen Abteilungen dienen, kleine Computer. Sie speichern diverse Daten wie Druckaufträge, Konfigurationsinformationen oder Zugangsdaten etwa zu Netzlaufwerken.
Einfach nur drucken
Sicherheitsforscher von F-Secure haben sich die Hard- und Software eines der betroffenen Drucker genauer angesehen. Dabei sind sie auf Schwachstellen beim Verarbeiten von Zeichensätzen in der Firmware gestoßen. Die Lücken ließen sich durch das Drucken manipulierter Postscript-Dateien ausnutzen, um beliebigen Code einzuschleusen und auszuführen.
Die ersten Analysen fanden an einer Firmware aus dem Jahr 2013 statt, die sie auf dem Testgerät vorfanden. Als das Eindringen darin gelang, nahmen sie sich die zum Testzeitpunkt aktuelle Firmware vor. Mit einigen Anpassungen ließen sich die Lücken auch darin noch ausnutzen. Auf HPs FTP-Servern lagen Firmware-Dateien für weitere Geräte, die die IT-Experten auf die gefundene Schwachstelle abklopften –, auch dort wurden sie fündig. In ihrem ausführlichen Bericht erläutern die F-Secure-Forscher, wie sie vorgegangen sind.
Die F-Secure-Forscher zählen zudem potenzielle Angriffsvektoren auf. Der Kritischste wäre ein Angriff via Cross-Site-Printing: Der Webbrowser sendet etwa beim Besuch einer bösartigen Webseite einen HTTP POST-Request mit dem Schadcode an den JetDirect-Port 9100 (TCP). Angreifer könnten Nutzer etwa mit einer E-Mail auf solch eine präparierte Seite locken.
Außerdem gelänge das Drucken – und damit Infizieren – auch von einem anderen bereits übernommenen Gerät: Die Lücke ließe sich von einem Wurm ausnutzen, sich selbständig im Netzwerk fortpflanzender Code. Weitere Einfallstore wären das Drucken einer manipulierten Datei von einem USB-Stick, via direkten Anstöpseln eines Geräts an den RJ45-Port oder beispielsweise mittels Social Engineering.
Firmware-Updates schließen die Lücken
Eine weitere Sicherheitsmeldung von HP betrifft eine zweite Schwachstelle (CVE-2021-39237, hohes Risiko), die die F-Secure-Forscher gefunden haben. Dazu benötigen Angreifer jedoch physischen Zugriff auf die Drucker. Am Ende könnten sie dadurch unbefugt an Informationen wie Druckaufträge oder gespeicherte Zugangsdaten gelangen.
HP listet in einem Security-Bulletin zur kritischen Lücke die diversen betroffenen Modellreihen auf (CVE-2021-39238, CVSS 9.3). HP-Nutzer sollten die Liste unter „Affected Products“ in der Sicherheitsmeldung prüfen, ob die eigenen eingesetzten Modelle darunter sind. Aktualisierte Firmware stellt Hewlett Packard auf der Support- und Download-Seite bereit, auf der man nach der Modellnummer suchen kann. Diese sollten Administratoren zeitnah einspielen und künftig auch regelmäßig das Aktualisieren von Drucker-Firmwares in die Patch-Planung mit aufnehmen.
