Gefährliche Cross-Site-Printing-Attacke möglich

HP schließt Sicherheitslücken in 150 MFP-Modellen

30.11.2021 von Peter Marwan
Trotz umfangreicher Bemühungen bekommt HP die Sicherheit seiner Drucker nicht wirklich in Griff. Diesmal haben Experten von F-Secure zwei Schwachstellen gefunden. Eine davon wird als "kritisch" eingestuft.
Besitzer von zahlreichen HP-Multifunktionsgeräten der LaserJet, LaserJet Managed, HP PageWide und HP PageWide Managed mit "FutureSmart"-Firmware sollten sich dringend um ein Firmware-Update kümmern.
Foto: solarseven - shutterstock.com

Experten von F-Secure haben zwei Sicherheitslücken gefunden, die in 150 unterschiedlichen Modellen von HP-Multifunktionsdruckern stecken. Angreifer könnten sie ausnutzen, "um die Kontrolle über ungeschützte Drucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass weiterer Schaden angerichtet werden kann", teilt der IT-Sicherheitsanbieter mit.

F-Secure hatte sich mit seinen Erkenntnissen bereits im Frühjahr an HP gewandt und anschließend gemeinsam mit dem Unternehmen daran gearbeitet, die Schwachstellen zu beheben. Auf Anfrage von verwies HP lediglich auf die verfügbaren Patches und das dazugehörige Sicherheitsbulletin. "Wir empfehlen unseren Kunden, ihre Hardware immer auf dem neuesten Stand zu halten", so der Hersteller.

Die Schwachstellen mit den Kennungen (CVE-2021-39237) und (CVE-2021-39238) hatten die F-Secure Sicherheitsberater Timo Hirvonen und Alexander Bolshev zunächst im HP MFP M725z entdeckt. Sie stecken in den Modulen für den physischen Zugriffsport und das Font-Parsing. Das MFP M725z gehört zu den HP-MFPs mit der "FutureSmart"-Firmware. Laut HP sind Modelle der Produktreihen LaserJet, LaserJet Managed, HP PageWide und HP PageWide Managed betroffen. Insgesamt stellt der Anbieter für über 150 Produkte neue Firmware bereit.

Datendiebstahl und Verbreitung von Ransomware möglich

In der National Vulnerability Database des NIST wird die Schwachstelle CVE-2021-39237 mit einem Wert von 4,6 als mittelschwere Lücke eingestuft. CVE-2021-39238 ist mit einem Wert von 9,8 jedoch als "kritisch" eingestuft. Laut F-Secure könnten die Lücken am effektivsten ausgenutzt werden, wenn Angreifer Mitarbeiter eines Unternehmens zum Besuch einer von ihnen infizierten Website verleiten.

"Im Anschluss kann eine so genannte Cross-Site-Printing-Attacke auf das ungeschützte MFP-Gerät durchgeführt werden. Die Website druckt dabei automatisch über das Internet ein Dokument auf dem betroffenen MFP-Gerät. Die in dem Dokument enthaltene schadhafte Schriftart ermöglicht es dem Angreifer, weiteren Code auf dem Drucker auszuführen", beschreibt F-Secure das weitere Vorgehen.

Für wenig versierte Angreifer sei der Angriff allerdings zu komplex. Kriminelle, die sich gezielt ein Unternehmen vornehmen, könnten damit aber durchaus Erfolg haben. Mit den auf diese Weise erlangten Rechten könnten sie unbemerkt alle Daten stehlen, die über das MFP-Gerät laufen oder auf diesem zwischengespeichert werden.

Neben Dokumenten, die gedruckt, gescannt oder gefaxt werden, gehören dazu auch Passwörter und Zugangsdaten, über die das Gerät mit dem Rest des Netzwerks verbunden ist. Damit könnten "Angreifer infizierte MFPs auch als Ausgangspunkt nutzen, um weiter in das Netzwerk eines Unternehmens vorzudringen und zusätzlichen Schaden anzurichten - zum Beispiel Diebstahl oder Änderung anderer Daten, Verbreitung von Ransomware usw.", warnt F-Secure.

Verbreitung von Computerwürmern denkbar

Darüber hinaus fanden die F-Secure-Forscher heraus, dass die Schwachstelle beim Font-Parsing auch anfällig für Computerwürmer ist. Angreifer könnten also eine sich selbst verbreitende Malware erstellen, die die betroffenen MFPs automatisch befällt und sich dann auf weitere ungeschützte Geräte im selben Netzwerk ausbreitet.

"Man vergisst leicht, dass moderne MFPs voll funktionsfähige Computer sind, die von Angreifern genauso wie andere Workstations und Endgeräte manipuliert werden können", erklärt F-Secure-Experte Hirvonen. "Und genau wie bei anderen Endgeräten können Angreifer ein infiziertes Gerät ausnutzen, um die Infrastruktur und den Geschäftsbetrieb eines Unternehmens zu schädigen. Erfahrene Cyberkriminelle sehen ungesicherte Geräte als Chance. Unternehmen, die der Sicherung ihrer MFPs nicht die gleiche Priorität einräumen wie dem Schutz anderer Endgeräte, setzen sich der Gefahr solcher Angriffe aus."

Darüber hinaus empfehlen Hirvonen und Bolshev Firmen zur Absicherung ihrer Druckerflotten den physischen Zugang zu MFPs zu beschränken, eigene, abgetrennte VLANs mit Firewall für die MFPs einzurichten, Sicherheitsetiketten zu verwenden, um physische Manipulationen an Geräten erkennen zu können sowie den Einsatz von Schlössern ("Kensington"-Schlösser), um den Zugriff auf Hardware zu kontrollieren. Außerdem sollten sich Firmen an die Herstellerempfehlungen halten, um unbefugte Änderungen an den Sicherheitseinstellungen zu verhindern. Nicht zuletzt könnten sie Räume, in denen MFPs stehen, mit Kameras überwachen, um den physischen Zugriff zum Zeitpunkt der Kompromittierung zu dokumentieren. Der letzte Ratschlag dürfte aber zumindest in Deutschland angesichts der Rechtslage nur in den wenigsten Fällen umzusetzen sein.

Zusammenfassen sieht Hirvonen angesichts der beiden Schwachstellen keinen Grund zur Panik. Allerdings sollten sich Firmen der spezifischen Risiken bewusst sein, damit sie auf derartige Attacken vorbereitet sind. "Auch wenn es sich um einen technisch anspruchsvollen Hack handelt, kann er mit grundlegenden Maßnahmen wie Netzwerksegmentierung, Patch-Verwaltung und verschärften Sicherheitsvorkehrungen abgewehrt werden", erklärt Hirvonen.

Mehr zum Thema

Druckerhersteller nehmen Sicherheit allmählich ernst

HP schließt Sicherheitslücken in Tintenstrahldruckern

"Drucken gehört zum modernen Arbeitsplatz"

PDF zum Download: ChannelPartner Ausgabe 11-12/2021 mit dem Schwerpunkt "Drucken"