Die Sicherheitsexperten von F-Secure haben in über 150 HP-Multifunktionsdruckern Sicherheitslücken gefunden. HP veröffentlicht inzwischen Patches für Sicherheitslücken, die Hacker ausnutzen können, um Informationen zu stehlen oder andere Attacken auf Unternehmen durchzuführen.
HP Inc. hat Patches für Sicherheitslücken veröffentlicht, die der Cybersicherheitsanbieter F-Secure in über 150 seiner Multifunktionsdrucker (MFP) entdeckt hat. Laut einer von F-Secure veröffentlichten Studie können Angreifer die Schwachstellen nutzen, um die Kontrolle über ungeschützte Drucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass weiterer Schaden angerichtet werden kann.
Schwachstellen betreffen 150 HP-Druckermodelle
Zwei Sicherheitsberater von F-Secure, Timo Hirvonen und Alexander Bolshev, hatten Anfälligkeiten im physischen Zugriffsport (CVE-2021-39237) und im Font-Parsing (CVE-2021-39238) im HP MFP M725z entdeckt, einem Produkt aus der FutureSmart-Druckerreihe von HP. In den jetzt von HP veröffentlichten Sicherheitshinweisen sind über 150 verschiedene Produkte aufgeführt, die von den Sicherheitslücken betroffen sind.
Die effektivste Angriffsmethode besteht darin, Mitarbeiter eines attackierten Unternehmens zum Besuch einer bösartigen Website zu verleiten. Im Anschluss kann eine so genannte Cross-Site-Printing-Attacke auf das ungeschützte MFP-Gerät durchgeführt werden. Die Website druckt dabei automatisch über das Internet ein Dokument auf dem betroffenen MFP-Gerät. Die in dem Dokument enthaltene schadhafte Schriftart ermöglicht es dem Angreifer, weiteren Code auf dem Drucker auszuführen.
Angriff mit schadhafter Schriftart
Ein Angreifer mit diesen Rechten zum Ausführen von Code könnte unbemerkt alle Daten stehlen, die über das MFP-Gerät laufen oder auf diesem zwischengespeichert werden. Dazu gehören nicht nur Dokumente, die gedruckt, gescannt oder gefaxt werden, sondern auch sensible Informationen wie Passwörter und Zugangsdaten, über die das Gerät mit dem Rest des Netzwerks verbunden ist. Angreifer könnten infizierte MFPs auch als Ausgangspunkt nutzen, um weiter in das Netzwerk eines Unternehmens vorzudringen und zusätzlichen Schaden anzurichten – zum Beispiel Diebstahl oder Änderung anderer Daten, Verbreitung von Ransomware usw.
Laut den Sicherheitsexperten ist die Nutzung der Schwachstellen zwar für viele weniger qualifizierte Angreifer tendenziell zu komplex, versiertere Bedrohungsakteure können sie aber durchaus für gezielte Angriffe einsetzen.
Schwachstelle Font-Parsing anfällig für Computerwürmer
Darüber hinaus fanden die Forscher heraus, dass die Schwachstellen beim Font-Parsing anfällig für Computerwürmer sind, das bedeutet, Angreifer könnten eine sich selbst verbreitende Malware erstellen, die die betroffenen MFPs automatisch befällt und sich dann auf weitere ungeschützte Geräte im selben Netzwerk ausbreitet.
„Man vergisst leicht, dass moderne MFPs voll funktionsfähige Computer sind, die von Angreifern genauso wie andere Workstations und Endgeräte manipuliert werden können. Und genau wie bei anderen Endgeräten können Angreifer ein infiziertes Gerät ausnutzen, um die Infrastruktur und den Geschäftsbetrieb eines Unternehmens zu schädigen. Erfahrene Cyberkriminelle sehen ungesicherte Geräte als Chance. Unternehmen, die der Sicherung ihrer MFPs nicht die gleiche Priorität einräumen wie dem Schutz anderer Endgeräte, setzen sich der Gefahr solcher Angriffe aus, wie sie in unserer Studie dokumentiert wurden“, erklärt Hirvonen.
Empfehlungen zur Sicherung von MFPs
In Anbetracht des Status von HP als führendem Anbieter von MFPs mit einem geschätzten Anteil von 40 Prozent am Markt für Hardware-Peripheriegeräte sind wahrscheinlich viele Unternehmen weltweit mit anfälligen Geräten ausgestattet.
Hirvonen und Bolshev haben sich im Frühjahr mit ihren Erkenntnissen an HP gewandt und gemeinsam mit dem Unternehmen an der Behebung der Schwachstellen gearbeitet. HP hat nun Firmware-Updates und Sicherheitshinweise für die betroffenen Geräte veröffentlicht.
Obwohl einige Bedrohungsakteure die Angriffsmethode aufgrund der hohen Anforderungen nicht nutzen können, sollten Unternehmen ihre MFPs nach Meinung der Sicherheitsanalysten dennoch unbedingt vor Angreifern mit hoher Expertise schützen – vor allem, wenn der Betrieb in der Vergangenheit bereits ähnlichen Angriffen ausgesetzt war.
Mögliche Maßnahmen zur Sicherung der MFPs zusätzlich zu den Patches
- Beschränkung des physischen Zugangs zu MFPs
- Einrichtung eines eigenen, abgetrennten VLAN mit Firewall für die MFPs
- Verwendung von Sicherheitsetiketten, um physische Manipulationen an Geräten zu erkennen
- Einsatz von Schlössern (z. B. Kensington-Schlösser), um den Zugriff auf Hardware zu kontrollieren
- Einhaltung der Herstellerempfehlungen zur Verhinderung unbefugter Änderungen an den Sicherheitseinstellungen
- Aufstellen der MFPs in Räumen mit Kameraüberwachung, um jede physische Nutzung des gehackten Geräts zum Zeitpunkt der Kompromittierung aufzuzeichnen.
„Große Unternehmen, Firmen in sensiblen Branchen und andere Organisationen, die mit hochqualifizierten, gut ausgerüsteten Angreifern konfrontiert sind, sollten unsere Erkenntnisse ernstnehmen. Es besteht kein Grund zur Panik, aber sie sollten sich der spezifischen Risiken bewusst sein, damit sie auf diese Attacken vorbereitet sind. Auch wenn es sich um einen technisch anspruchsvollen Hack handelt, kann er mit grundlegenden Maßnahmen wie Netzwerksegmentierung, Patch-Verwaltung und verschärften Sicherheitsvorkehrungen abgewehrt werden“, so Hirvonen.
Mehr bei F-Secure.com
Über F-Secure Niemand hat einen besseren Einblick in echte Cyberangriffe als F-Secure. Wir schließen die Lücke zwischen Erkennung und Reaktion. Zu diesem Zweck nutzen wir die unübertroffene Bedrohungsexpertise von Hunderten der besten technischen Berater unserer Branche, Daten von Millionen von Geräten, die unsere preisgekrönte Software nutzen, sowie fortlaufende Innovationen im Bereich der künstlichen Intelligenz. Führende Banken, Fluggesellschaften und Unternehmen vertrauen auf unser Engagement bei der Bekämpfung der gefährlichsten Cyberbedrohungen der Welt. Zusammen mit unserem Netzwerk an Top-Channel-Partnern und über 200 Serviceanbietern ist es unsere Mission, all unseren Kunden maßgeschneiderte unternehmensfähige Cybersicherheit zur Verfügung zu stellen. F-Secure wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd gelistet.