F-Secure findet Sicherheitslücken in über 150 HP-Multifunktionsdruckern

HP veröffentlicht Patches für Sicherheitslücken, die Hacker ausnutzen können, um Informationen zu stehlen oder andere Attacken auf Unternehmen durchzuführen.

Helsinki / München, 30. November 2021: HP Inc. hat Patches für Sicherheitslücken veröffentlicht, die der Cybersicherheitsanbieter F-Secure in über 150 seiner Multifunktionsdrucker (MFP) entdeckt hat. Laut einer heute von F-Secure veröffentlichten Studie können Angreifer die Schwachstellen nutzen, um die Kontrolle über ungeschützte Drucker zu erlangen, Informationen zu stehlen und Netzwerke so zu infiltrieren, dass weiterer Schaden angerichtet werden kann.

Zwei Sicherheitsberater von F-Secure, Timo Hirvonen und Alexander Bolshev, hatten Anfälligkeiten im physischen Zugriffsport (CVE-2021-39237) und im Font-Parsing (CVE-2021-39238) im HP MFP M725z entdeckt, einem Produkt aus der FutureSmart-Druckerreihe von HP. In den jetzt von HP veröffentlichten Sicherheitshinweisen sind über 150 verschiedene Produkte aufgeführt, die von den Sicherheitslücken betroffen sind.

Die effektivste Angriffsmethode besteht darin, Mitarbeiter eines attackierten Unternehmens zum Besuch einer bösartigen Website zu verleiten. Im Anschluss kann eine so genannte Cross-Site-Printing-Attacke auf das ungeschützte MFP-Gerät durchgeführt werden. Die Website druckt dabei automatisch über das Internet ein Dokument auf dem betroffenen MFP-Gerät. Die in dem Dokument enthaltene schadhafte Schriftart ermöglicht es dem Angreifer, weiteren Code auf dem Drucker auszuführen.

Ein Angreifer mit diesen Rechten zum Ausführen von Code könnte unbemerkt alle Daten stehlen, die über das MFP-Gerät laufen oder auf diesem zwischengespeichert werden. Dazu gehören nicht nur Dokumente, die gedruckt, gescannt oder gefaxt werden, sondern auch sensible Informationen wie Passwörter und Zugangsdaten, über die das Gerät mit dem Rest des Netzwerks verbunden ist. Angreifer könnten infizierte MFPs auch als Ausgangspunkt nutzen, um weiter in das Netzwerk eines Unternehmens vorzudringen und zusätzlichen Schaden anzurichten – zum Beispiel Diebstahl oder Änderung anderer Daten, Verbreitung von Ransomware usw.

Laut den Sicherheitsexperten ist die Nutzung der Schwachstellen zwar für viele weniger qualifizierte Angreifer tendenziell zu komplex, versiertere Bedrohungsakteure können sie aber durchaus für gezielte Angriffe einsetzen. 

Darüber hinaus fanden die Forscher heraus, dass die Schwachstellen beim Font-Parsing anfällig für Computerwürmer sind, das bedeutet, Angreifer könnten eine sich selbst verbreitende Malware erstellen, die die betroffenen MFPs automatisch befällt und sich dann auf weitere ungeschützte Geräte im selben Netzwerk ausbreitet.

„Man vergisst leicht, dass moderne MFPs voll funktionsfähige Computer sind, die von Angreifern genauso wie andere Workstations und Endgeräte manipuliert werden können. Und genau wie bei anderen Endgeräten können Angreifer ein infiziertes Gerät ausnutzen, um die Infrastruktur und den Geschäftsbetrieb eines Unternehmens zu schädigen. Erfahrene Cyberkriminelle sehen ungesicherte Geräte als Chance. Unternehmen, die der Sicherung ihrer MFPs nicht die gleiche Priorität einräumen wie dem Schutz anderer Endgeräte, setzen sich der Gefahr solcher Angriffe aus, wie sie in unserer Studie dokumentiert wurden“, erklärt Hirvonen.

Empfehlungen zur Sicherung von MFPs

In Anbetracht des Status von HP als führendem Anbieter von MFPs mit einem geschätzten Anteil von 40 Prozent am Markt für Hardware-Peripheriegeräte[1] sind wahrscheinlich viele Unternehmen weltweit mit anfälligen Geräten ausgestattet.

Hirvonen und Bolshev haben sich im Frühjahr mit ihren Erkenntnissen an HP gewandt und gemeinsam mit dem Unternehmen an der Behebung der Schwachstellen gearbeitet. HP hat nun Firmware-Updates und Sicherheitshinweise für die betroffenen Geräte veröffentlicht. [2][3]

Obwohl einige Bedrohungsakteure die Angriffsmethode aufgrund der hohen Anforderungen nicht nutzen können, sollten Unternehmen ihre MFPs nach Meinung der Sicherheitsanalysten dennoch unbedingt vor Angreifern mit hoher Expertise schützen – vor allem, wenn der Betrieb in der Vergangenheit bereits ähnlichen Angriffen ausgesetzt war.

Weitere mögliche Maßnahmen zur Sicherung der MFPs neben den veröffentlichten Patches:

  • Beschränkung des physischen Zugangs zu MFPs
  • Einrichtung eines eigenen, abgetrennten VLAN mit Firewall für die MFPs
  • Verwendung von Sicherheitsetiketten, um physische Manipulationen an Geräten zu erkennen
  • Einsatz von Schlössern (z. B. Kensington-Schlösser), um den Zugriff auf Hardware zu kontrollieren
  • Einhaltung der Herstellerempfehlungen zur Verhinderung unbefugter Änderungen an den Sicherheitseinstellungen
  • Aufstellen der MFPs in Räumen mit Kameraüberwachung, um jede physische Nutzung des gehackten Geräts zum Zeitpunkt der Kompromittierung aufzuzeichnen.

„Große Unternehmen, Firmen in sensiblen Branchen und andere Organisationen, die mit hochqualifizierten, gut ausgerüsteten Angreifern konfrontiert sind, sollten unsere Erkenntnisse ernstnehmen. Es besteht kein Grund zur Panik, aber sie sollten sich der spezifischen Risiken bewusst sein, damit sie auf diese Attacken vorbereitet sind. Auch wenn es sich um einen technisch anspruchsvollen Hack handelt, kann er mit grundlegenden Maßnahmen wie Netzwerksegmentierung, Patch-Verwaltung und verschärften Sicherheitsvorkehrungen abgewehrt werden“, so Hirvonen.

Eine detaillierte technische Zusammenfassung der Sicherheitsanalyse ist auf der Website von F-Secure Labs verfügbar: https://labs.f-secure.com/publications/printing-shellz.

 

Über F-Secure

F-Secure lebt Cyber Security wie kein Anderer. Seit drei Jahrzehnten treibt F-Secure Innovationen in der Cybersicherheit voran und schützt zehntausende von Unternehmen und Millionen von Menschen weltweit. Mit unübertroffener Erfahrung in Endpoint Protection sowie Erkennung und Reaktion, schützt F-Secure Unternehmen und Verbraucher vor Online-Bedrohungen jeglicher Art – von fortschrittlichen Cyberangriffen und Verletzung der Datensicherheit bis hin zu Infektionen mit Ransomware-Trojanern.

F-Secures anspruchsvolle Technik vereint die Stärken von Maschine mit dem menschlichen Know-how des weltweit anerkannten Sicherheitslabors für den einzigartigen Ansatz genannt Live Security. Darüber hinaus beteiligten sich F-Secure und ihre Sicherheitsexperten an mehr europäischen Cyber-Crime Untersuchungen als jede andere Firma. Die F-Secure Produkte und Services werden weltweit von über 200 Telekommunikationsunternehmen und Internetbetreibern sowie tausenden von Händlern angeboten.

F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.

f-secure.de | twitter.com/fsecure | linkedin.com/f-secure

F-Secure media relations

Berk Kutsal

PR Manager, DACH

+49 89 787 467 0
presse-de@f-secure.com

Presseverteiler

Aktuelle News per E-Mail? Tragen Sie sich in unseren Presseverteiler ein

We process the personal data you share with us in accordance with our Corporate Business Privacy Policy.

Pressearchiv

Veröffentlichungsjahr

Alle Pressemitteilungen nach Jahren sortiert

Themenwelt

Alle Pressemitteilungen nach Themen sortiert