HP hat Patches für Sicherheitslücken veröffentlicht, die der Cybersicherheitsanbieter F-Secure in über 150 seiner Multifunktionsdrucker (MFP) entdeckt hat. Laut einer heute von F-Secure veröffentlichten Studie können Angreifer die Schwachstellen nutzen, um die Kontrolle über ungeschützte Drucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass weiterer Schaden angerichtet werden kann.
Zwei Sicherheitsberater von F-Secure, Timo Hirvonen und Alexander Bolshev, hatten Anfälligkeiten im physischen Zugriffsport (CVE-2021-39237) und im Font-Parsing (CVE-2021-39238) im HP MFP M725z entdeckt, einem Produkt aus der FutureSmart-Druckerreihe von HP. In den jetzt von HP veröffentlichten Sicherheitshinweisen sind über 150 verschiedene Produkte aufgeführt, die von den Sicherheitslücken betroffen sind. Die effektivste Angriffsmethode besteht darin, Mitarbeiter eines attackierten Unternehmens zum Besuch einer bösartigen Website zu verleiten. Im Anschluss kann eine so genannte Cross-Site-Printing-Attacke auf das ungeschützte MFP-Gerät durchgeführt werden. Die Website druckt dabei automatisch über das Internet ein Dokument auf dem betroffenen MFP-Gerät. Die in dem Dokument enthaltene schadhafte Schriftart ermöglicht es dem Angreifer, weiteren Code auf dem Drucker auszuführen. Ein Angreifer mit diesen Rechten zum Ausführen von Code könnte unbemerkt alle Daten stehlen, die über das MFP-Gerät laufen oder auf diesem zwischengespeichert werden. Dazu gehören nicht nur Dokumente, die gedruckt, gescannt oder gefaxt werden, sondern auch sensible Informationen wie Passwörter und Zugangsdaten, über die das Gerät mit dem Rest des Netzwerks verbunden ist. Angreifer könnten infizierte MFPs auch als Ausgangspunkt nutzen, um weiter in das Netzwerk eines Unternehmens vorzudringen und zusätzlichen Schaden anzurichten – zum Beispiel Diebstahl oder Änderung anderer Daten, Verbreitung von Ransomware usw. Laut den Sicherheitsexperten ist die Nutzung der Schwachstellen zwar für viele weniger qualifizierte Angreifer tendenziell zu komplex, versiertere Bedrohungsakteure können sie aber durchaus für gezielte Angriffe einsetzen. Darüber hinaus fanden die Forscher heraus, dass die Schwachstellen beim Font-Parsing anfällig für Computerwürmer sind, das bedeutet, Angreifer könnten eine sich selbst verbreitende Malware erstellen, die die betroffenen MFPs automatisch befällt und sich dann auf weitere ungeschützte Geräte im selben Netzwerk ausbreitet. „Man vergisst leicht, dass moderne MFPs voll funktionsfähige Computer sind, die von Angreifern genauso wie andere Workstations und Endgeräte manipuliert werden können. Und genau wie bei anderen Endgeräten können Angreifer ein infiziertes Gerät ausnutzen, um die Infrastruktur und den Geschäftsbetrieb eines Unternehmens zu schädigen. Erfahrene Cyberkriminelle sehen ungesicherte Geräte als Chance. Unternehmen, die der Sicherung ihrer MFPs nicht die gleiche Priorität einräumen wie dem Schutz anderer Endgeräte, setzen sich der Gefahr solcher Angriffe aus, wie sie in unserer Studie dokumentiert wurden“, erklärt Hirvonen.
Empfehlungen zur Sicherung von MFPs
In Anbetracht des Status von HP als führendem Anbieter von MFPs mit einem geschätzten Anteil von 40 Prozent am Markt für Hardware-Peripheriegeräte* sind wahrscheinlich viele Unternehmen weltweit mit anfälligen Geräten ausgestattet. Hirvonen und Bolshev haben sich im Frühjahr mit ihren Erkenntnissen an HP gewandt und gemeinsam mit dem Unternehmen an der Behebung der Schwachstellen gearbeitet. HP hat nun Firmware-Updates und Sicherheitshinweise für die betroffenen Geräte veröffentlicht. Obwohl einige Bedrohungsakteure die Angriffsmethode aufgrund der hohen Anforderungen nicht nutzen können, sollten Unternehmen ihre MFPs nach Meinung der Sicherheitsanalysten dennoch unbedingt vor Angreifern mit hoher Expertise schützen – vor allem, wenn der Betrieb in der Vergangenheit bereits ähnlichen Angriffen ausgesetzt war.
Weitere mögliche Massnahmen zur Sicherung der MFPs neben den veröffentlichten Patches:
- Beschränkung des physischen Zugangs zu MFPs
- Einrichtung eines eigenen, abgetrennten VLAN mit Firewall für die MFPs
- Verwendung von Sicherheitsetiketten, um physische Manipulationen an Geräten zu erkennen
- Einsatz von Schlössern (z. B. Kensington-Schlösser), um den Zugriff auf Hardware zu kontrollieren
- Einhaltung der Herstellerempfehlungen zur Verhinderung unbefugter Änderungen an den Sicherheitseinstellungen
- Aufstellen der MFPs in Räumen mit Kameraüberwachung, um jede physische Nutzung des gehackten Geräts zum Zeitpunkt der Kompromittierung aufzuzeichnen.
„Grosse Unternehmen, Firmen in sensiblen Branchen und andere Organisationen, die mit hochqualifizierten, gut ausgerüsteten Angreifern konfrontiert sind, sollten unsere Erkenntnisse ernstnehmen. Es besteht kein Grund zur Panik, aber sie sollten sich der spezifischen Risiken bewusst sein, damit sie auf diese Attacken vorbereitet sind. Auch wenn es sich um einen technisch anspruchsvollen Hack handelt, kann er mit grundlegenden Massnahmen wie Netzwerksegmentierung, Patch-Verwaltung und verschärften Sicherheitsvorkehrungen abgewehrt werden“, so Hirvonen.
