Xerox bekommt Sicherheit seiner Druckgeräte nicht in Griff

Wissenschaftler des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben erneut Sicherheitslücken in Druckgeräten von Xerox gefunden. Wie bereits bei früheren Sicherheitslücken lässt sich darüber eine manipulierte Konfigurationsdatei einzuspielen. Sie ermöglicht dann Unbefugten weitreichenden Zugriff. Da in Firmen zahlreiche Dokumente mit vertraulichen Informationen zum Ausdruck an Drucker gesendet werden, in traditionellen Sicherheitskonzepten Druckgeräte oft nicht oder nur unzureichend berücksichtigt werden, lassen sich darüber schwerwiegende und oft lange unentdeckte Angriffe auf Unternehmensnetzwerke durchführen.

Im Auslieferungszustand ist der Xerox Phaser 6700 ein Sicherheitsrisiko fürs Firmennetzwerk (Bild: Xerox).

Die nun von den Fraunhofer-Wissenschaftlern gefundene Sicherheitslücke (PDF) nutzt vergleichbare Angriffswege wie ein bereits 2012 von Deral Heiland veröffentlichter Proof of Concept (PoC). Heiland machte sich damals eine Sicherheitslücke im Update-Mechanismus von Xerox-Druckern zunutze und erläuterte 2013 in dem Whitepaper “From Patched to Pwned” (PDF) die Hintergründe. Dem Fraunhofer FKIE gelang es nun nicht nur zu zeigen, dass die damals offengelegte Sicherheitslücke sich bei einigen Modellen von Xerox auch heute noch ausnutzen lässt, sondern fand auch Wege, Geräte wie den Xerox Phaser 6700, die mit aktualisierter Firmware kommen, erfolgreich anzugreifen.

“Mittels vergleichbar gelagerter Angriffswege konnte jedoch auch die neueste Firmware in bestimmten Konstellationen angegriffen werden. Im Zuge der Analysen hat sich weiter gezeigt, dass die Nutzerauthentifizierung nicht an allen Stellen fehlerfrei arbeitet. So ist es unter Umständen möglich, manipulierte Konfigurationsdateien einzuspielen, wenn dies eigentlich durch ein Admin-Passwort verhindert werden sollte. Ferner kann durch eine weitere Lücke beliebiger Code durch diese manipulierten Konfigurationsdateien ausgeführt werden”, teilen die Forscher mit.

Insgesamt kämpft Xerox damit nun schon seit zehn Jahren mit Sicherheitslücken in seinen Druckern. Bereits 2006 war es dem US-Sicherheitsexperten Brendan O’Connor gelungen, auf der Black-Hat-Konferenz die Kontrolle über ein Xerox-Gerät zu übernehmen. Mit dem gehackten Drucker konnte er den Aufbau des Firmennetzwerks ausspähen, und sich so wertvolle Informationen für weitere Angriffe verschaffen. Außerdem hatte er Zugriff auf alle Dokumente, die auf dem Gerät ausgedruckt, kopiert oder per Fax versendet wurden. Schließlich konnte er auch den Seitenzähler manipulieren.

2008 warnte die EU-Agentur für European Network and Information Security (ENISA) davor, dass Drucker und Kopierer mit Webzugang eine potenzielle Schwachstelle in Unternehmensnetzwerken sind. Hackern sei es darüber unter Umständen möglich, Daten auszuspionieren und Kundendaten zu stehlen. Die Agentur rief Unternehmen dazu auf, dieses Risiko nicht zu unterschätzen. Sie wies mit Besorgnis darauf hin, dass sich einer Umfrage zufolge damals gerade einmal die Hälfte der europäischen Unternehmen mit Maßnahmen beschäftigt, um den Missbrauch von Drucker- und Kopiergeräten zu unterbinden. Allerdings handelte es sich dabei in erster Linie um Maßnahmen, um den physischen Zugriff auf Ausdruck für Unbefugte zu verhindern.

Dass die Warnungen der ENISA nicht aus der Luft gegriffen waren, zeigte sich im Jahr darauf, als eine Lücke in HP-Druckern öffentlich bekannt wurde: Unbefugte konnten aufgrund einer Directory-Traversal-Lücke auf den integrierten Webserver in den HP-Geräten zugreifen, Pfadangaben manipulieren und bekamen so Zugang zu beliebigen Dateien und Verzeichnissen.

Xerox kündigte im Februar 2012 an, also noch bevor Deral Heiland seinen Proof of Concept veröffentlicht hatte, durch eine Technologiepartnerschaft mit Cisco und McAfee (das heute zu Intel gehört) seine Druckgeräte in Firmen absichern zu wollen. Dazu sollte einerseits die Cisco-Lösung TrustSec zur Verwaltung von Zugriffsrechten die Xerox-Druckgeräte – so wie andere Endgeräte auch – einbeziehen. Zudem sollte Software von McAfee in Endgeräte von Xerox integriert werden. Über ein Whitelisting-Verfahren wollten die Partner sicherstellen, dass nur erlaubte Dateien entsprechend geltender Regeln ausgegeben werden. So lange aber in der Firmware offenbar grundlegende Fehler und Schwächen stecken, bleiben die Bemühungen auf höheren Ebenen letztendlich nur Kosmetik.

Loading ...
Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

2 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

2 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

23 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

24 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago