Schwachstelle im Unternehmens-LAN

Attacken auf Netzwerkdrucker

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Netzwerkdrucker im Unternehmen sind beliebte Ziele von Hackern.
Netzwerkdrucker im Unternehmen sind beliebte Ziele von Hackern. (Bild: pixabay / CC0)

Ein Hacker übernimmt aus Langeweile 150 000 Netzwerkdrucker und lässt sie ASCII-Art ausdrucken. Damit zeigt er, wie verwundbar diese Geräte sind, die zur Grundausstattung jedes Unternehmens gehören.

Drucker in Unternehmen haben viel gemeinsam: Jede Firma nutzt sie. Sie sind direkt im Netzwerk erreichbar. Und nachdem sie einmal aufgestellt wurden, kümmert sich kaum noch jemand um Updates. Vor allem der oft schlechte Patch-Zustand macht Drucker und Multifunktionsgeräte zu beliebten Angriffszielen für Hacker.

Ein aktuelles Beispiel ist der Hacker Stackoverflowin, der innerhalb kürzester Zeit 150 000 Geräte unter seiner Kontrolle brachte. Glücklicherweise wollte er damit keinen kriminellen Unfug treiben. Er druckte stattdessen Dokumente aus, die dem Besitzer auf die Verwundbarkeit hinwiesen.

Seine Methode war einfach: Mittels des Open Source Scanners Zmap fand er Systeme, deren Ports 9100, 631 oder 515 im Web erreichbar waren. Anschließend schickte er simple Druckaufträge, die von den Geräten brav ausgeführt wurden.

Stackoverflowin schrieb nach eigenen Angaben seine Tools selbst. Dabei hätte er mit Leichtigkeit auf bestehende Sammlungen zugreifen können, etwa das Printer Exploitation Toolkit, kurz PRET. Dessen Macher wollen mit dem Toolkit und dem zugehörigen Wiki auf die Gefahren hinweisen, die von scheinbar harmlosen Netzwerkdruckern ausgehen. Das Projekt entstand als Master Thesis und einer Umfrage an der RurhSec in Bochum.

Drei Einsatzszenarien für Hacker

Dazu kommt, dass sie neben interessante Zugangsdaten (etwa zu Domänen) auch selbst relevante Daten produzieren. Egal ob Scans, Faxe oder Ausdrucke, innerhalb eines Druckers liegen Daten fast immer unverschlüsselt „herum“. Interessierte Hacker können hier einen waren Fundus an Informationen abgreifen.

Neben den Daten an sich sind Drucker interessante Ausganspunkte für Attacken. Da sie meist im toten Winkel von Administratoren stehen, eigenen sie sich ideal als Basis für Angriffe. Selbst wenn infizierte Rechner oder Server neu aufgesetzt werden, der Drucker an sich wird gerne übersehen und ebnet so den Weg für eine erneute Infektion. Einen guten Vortrag zu diesem Thema lieferte Deral Heiland auf der Hackerkonferenz DefCON 19.

Die dritte Option sind Botnets. Gerade nach den Attacken des Mirai-Botnets auf IoT-Geräte muss man sich fragen, ob nicht auch Drucker Teil dieser DDoS-Botnetze sind. Sie liefern schließlich deutlich mehr Rechenleistung als etwa ein IoT-Sensor oder ein Router.

Gegenmaßnahmen

Sicherheitsverantwortliche sollten aus den „spaßigen“ Angriffen von Stackoverflowin schleunigst eine Lehre ziehen und Maßnahmen ableiten. Nicht nur müssen Drucker und Multifunktionsgeräte (ebenso wie alle andren Netzwerkkomponenten) in einen Patch- und Update-Zyklus eingebunden werden. Im zweiten Schritt müssen Kennwörter und Zugangsdaten von den Standard-Einstellungen geändert werden.

Abschließend sollte der Zugriff von außen wo immer möglich geblockt werden. Obwohl das so selbstverständlich klingt, ist es noch immer ein Problem. Eine Shodan-Suche zeigte zum Redaktionsschluss weltweit über 109 000 Geräte, die auf Anfragen an Port 9100 reagierten. 2271 davon kamen laut der Suchmaschine aus Deutschland.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44531189 / Sicherheitslücken)