[Netzwelt] Netzwerkdrucker von Hewlett-Packard lassen sich als Fileserver missbrauchen

Der Sicherheitsforscher Chris Vickery hat in einem Artikel, dass viele Drucker Ihren verbauten Speicher frei mit dem Netzwerk kommunizieren lassen. In dem konkreten Fall geht es um Geräte des Herstellers Hewlett-Packard welche zum Teil mit mehreren Gigabyte Speicher ausgestattet sind.

Über den Port 9100 lässt sich der Speicher der betroffenen Drucker ansprechen, so dass man Dateien hochladen kann. Über die Adresse

You do not have permission to view link please Anmelden or Registrieren

kann man dann auch ganz bequem per Browser die Dateien herunterladen. Sofern keine Firewall im lokalen Netzwerk vorhanden ist oder diese den Port 9100 nicht blockt ist ein Zugriff auch aus dem Internet möglich. Somit lässt sich z. B. Schadsoftware recht unbemerkt verteilen, da wohl die wenigstens den Drucker als potentielle Gefahrenquelle ansehen und somit wohl auch weniger überwachen werden.

Laut einer

You do not have permission to view link please Anmelden or Registrieren

wurden bereits mehr als 20.000 betroffene Geräte gefunden, welche über das Internet erreichbar sind.

Quelle:

You do not have permission to view link please Anmelden or Registrieren

/

You do not have permission to view link please Anmelden or Registrieren

 

[loopzone]

Interessante Info. Aber wer hat denn heutzutage keine Firewall?

 

[Hector]

You do not have permission to view link please Anmelden or Registrieren

Naja, viele Sicherheitslücken lassen sich oft nur unter bestimmten Bedingungen ausnutzen. Viele z.B. nur bei physischem Vollzugriff auf einen Rechner, was in der Praxis nur selten vorkommt. Dennoch wird es eben erwähnt und entsprechend gefixt. Oder auch nicht.

 

[mathmos]

@loopzone:

Aus Erfahrung hat Malermeister Klecks mit seinen drei Angestellten in der Regel keine Firewall die das Netzwerk abschirmt.

 

[sia]

You do not have permission to view link please Anmelden or Registrieren

Leute mit IPv6, die das nicht wissen?

Aus Erfahrung hat Malermeister Klecks mit seinen drei Angestellten in der Regel keine Firewall die das Netzwerk abschirmt.

Malermeister Klecks hat aber bestimmt noch IPv4 und einen Router mit NAT, was den Angriff von Außen ins Leere laufen lässt. Vielleicht gibt dir Hr. Klecks aber das WLAN-Passwort, wenn du nett fragst...

 

[mathmos]

Ich habe letztes Jahr erst einen Server bei einem kleinen Handwerksbetrieb gesehen, der in der Fritzbox als "Exposed Host" definiert war. Sonst kann man, wenn man beim Kunden ist, ja nicht darauf zugreifen. So die offizielle Begründung.

Und wenn ich mir die Shodan-Statistik so ansehe ich das wohl kein Einzelfall.

 

[The_Emperor]

In solchen Angelegenheiten hab ich null Verständnis für derart massive Inkompetenz. Wer eine Portweiterleitung auf einen Drucker ohne Quelleneinschränkung erstellt oder ein Firmennetzwerk nicht durch eine Firewall schützt sollte entmündigt werden.

Habe den erwähnten Angriff mit einem "LaserJet Pro 400 - M401", einem "LaserJet P3015" und einem "LaserJet P2055" nachgestellt. Bei allen drei Druckern ist der Port 9100 offen und der Drucker mit einem simplen Admin-Kennwort geschützt, trotzdem war es mir nicht möglich diesen Angriff unter realen Bedingungen im LAN durchzuführen obwohl zB. der P2055 eine Firmware von 2011 hatte.

 

[thom53281]

Wer eine Portweiterleitung auf einen Drucker ohne Quelleneinschränkung erstellt oder ein Firmennetzwerk nicht durch eine Firewall schützt sollte entmündigt werden.

Es muss nicht unbedingt immer Inkompetenz daran schuld sein - zumindest nicht direkt. Man muss das nicht zwingend falsch konfigurieren, dass ein solcher Drucker plötzlich von Außen zugreifbar ist. Nehmen wir mal das oben genannte Beispiel.

$Handwerksbetrieb hat eben jenen Drucker und einen Router mit NAT-Firewall, keine Portweiterleitung. Sofern die Firmware des Routers keine Lücken aufweist, würde ich das Netzwerk soweit als sicher abgeschottet von außen ansehen. Nun denkt man nicht weiter drüber nach und lässt schnell mal einen Kunden in das Netzwerk, da dieser "schnell mal was nachschauen muss". Mit eben jenem Wissen über diese Sicherheitslücke und dank Standardpasswort im Router konfiguriert nun der Kunde eine Portweiterleitung auf den Drucker und kann nun fröhlich Filesharing auf Firmenkosten betreiben.

 

[virtus]

Bitte bedenkt, dass nicht jeder Ahnung von Computern/ Netzwerk/ Firewalls hat.
So wie ihr jedem DAU, der sich nicht mit diesen Themen auskennt, die Mündigkeit entziehen würdet, würde euch jeder Germanistikprofessor die Mündigkeit entziehen, wenn ihr mal wieder den Genitiv falsch verwendet. Natürlich sehen "wir" das als Grundlagen, die absolut selbstverständlich sind, aber für fachfremde sind es halt nun mal Böhmische Dörfer, auch wenn es zu seinem täglichen work flow gehört.

 

[Der3Geist]

Habs gerade mal probieren wollen, aber irgendwie Verstehe ich nicht so ganz, wie man dort eine Datei hochladen können soll.

Per FTP auf Port 9100 scheint er zwar zu Verbinden, aber mein FTP Programm friert ein.
Sobalt ich die Verbindung trennen will, macht der drucker einen Reset und Spuckt eine leere seite aus.

 

[virtus]

So neu scheint das allerdings wieder mal nicht zu sein. Ich habe gerade einen Artikel aus Anfang 2012 gefunden, der verschiedene Angriffe auf Netzwerkdrucker thematisiert. Dort wird auch genau erklärt, wie diese ablaufen. @Der3Geist Ich glaube nicht, dass das FTP Protokoll zu verwenden ist, versuch es mal mit telnet.

 

[drfuture]

You do not have permission to view link please Anmelden or Registrieren

 

[Der3Geist]

@Der3Geist Ich glaube nicht, dass das FTP Protokoll zu verwenden ist, versuch es mal mit telnet.

Ok, ich meine irgendwo etwas über FTP gelesen zu haben.
Dann werde ich halt mal Telnet versuchen.