Xerox-Drucker weisen weiterhin Sicherheitslücken auf

Forscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) haben zum wiederholten Mal Schwachstellen in Druckern des US-Herstellers Xerox entdeckt. Wie schon bei früheren Lücken können Angreifer sie ausnutzen, um sich mittels einer manipulierten Konfigurationsdatei weitreichenden Zugriff zu verschaffen. Auf diese Weise lassen sich theoretisch lange unentdeckte Angriffe auf Firmennetzwerke durchführen, da Drucker in traditionellen Sicherheitskonzepten oft nur unzureichend oder gar nicht berücksichtigt werden, aber zahlreiche vertrauliche Dokumente zum Ausdruck gesendet werden.

Im Auslieferungszustand ist der Xerox Phaser 6700 laut FKIE ein Sicherheitsrisiko fürs Firmennetzwerk (Bild: Xerox).Das nun vom FKIE offengelegte Sicherheitsleck (PDF) ermöglicht vergleichbare Angriffswege wie ein bereits 2012 von Deral Heiland veröffentlichter Proof of Concept (PoC). Heiland nutze damals eine Lücke im Update-Mechanismus von Xerox-Druckern aus und erklärte 2013 in dem Whitepaper „From Patched to Pwned“ (PDF) die Hintergründe. Laut dem FKIE finden sich die seit damals bekannten Schwachstellen auch heute noch in einigen Druckgeräten von Xerox. Es gelang ihm auch, Modelle anzugreifen, die wie der Xerox Phaser 6700 mit aktualisierter Firmware ausgestattet sind.

„Mittels vergleichbar gelagerter Angriffswege konnte auch die neueste Firmware in bestimmten Konstellationen angegriffen werden. Im Zuge der Analysen hat sich weiter gezeigt, dass die Nutzerauthentifizierung nicht an allen Stellen fehlerfrei arbeitet. So ist es unter Umständen möglich, manipulierte Konfigurationsdateien einzuspielen, wenn dies eigentlich durch ein Admin-Passwort verhindert werden sollte. Ferner kann durch eine weitere Lücke beliebiger Code durch diese manipulierten Konfigurationsdateien ausgeführt werden“, teilen die Forscher mit.

Insgesamt kämpft Xerox damit nun schon seit zehn Jahren mit Sicherheitslücken in seinen Druckern. Bereits 2006 war es dem US-Sicherheitsexperten Brendan O’Connor gelungen, auf der Black-Hat-Konferenz die Kontrolle über ein Xerox-Gerät zu übernehmen. Mit dem gehackten Drucker konnte er den Aufbau des Firmennetzwerks ausspähen, und sich so wertvolle Informationen für weitere Angriffe verschaffen. Außerdem hatte er Zugriff auf alle Dokumente, die auf dem Gerät ausgedruckt, kopiert oder per Fax versendet wurden. Schließlich konnte er auch den Seitenzähler manipulieren.

2008 warnte die EU-Agentur für European Network and Information Security (ENISA) davor, dass Drucker und Kopierer mit Webzugang eine potenzielle Schwachstelle in Unternehmensnetzwerken sind. Hackern sei es darüber unter Umständen möglich, Daten auszuspionieren und Kundendaten zu stehlen. Die Agentur rief Unternehmen dazu auf, dieses Risiko nicht zu unterschätzen. Sie wies mit Besorgnis darauf hin, dass sich einer Umfrage zufolge damals gerade einmal die Hälfte der europäischen Unternehmen mit Maßnahmen beschäftigt, um den Missbrauch von Drucker- und Kopiergeräten zu unterbinden. Allerdings handelte es sich dabei in erster Linie um Maßnahmen, um den physischen Zugriff auf Ausdrucke für Unbefugte zu verhindern.

Dass die Warnungen der ENISA nicht aus der Luft gegriffen waren, zeigte sich im Jahr darauf, als eine Schwachstelle in HP-Druckern öffentlich bekannt wurde: Unbefugte konnten aufgrund einer Directory-Traversal-Lücke auf den integrierten Webserver in den HP-Geräten zugreifen, Pfadangaben manipulieren und sich so Zugang zu beliebigen Dateien und Verzeichnissen verschaffen.

Xerox kündigte im Februar 2012 an – also noch bevor Deral Heiland seinen Machbarkeitsbeweis veröffentlicht hatte -, durch eine Technologiepartnerschaft mit Cisco und McAfee (das heute zu Intel gehört) seine Druckgeräte in Firmen abzusichern. Dazu sollte einerseits die Cisco-Lösung TrustSec zur Verwaltung von Zugriffsrechten die Xerox-Druckgeräte – so wie andere Endgeräte auch – einbeziehen. Andererseits sollte Software von McAfee in Endgeräte von Xerox integriert werden. Über ein Whitelisting-Verfahren wollten die Partner sicherstellen, dass nur erlaubte Dateien entsprechend geltender Regeln ausgegeben werden. So lange aber in der Firmware offenbar grundlegende Fehler und Schwachstellen stecken, bleiben die Bemühungen auf höheren Ebenen letztendlich nur Kosmetik.

[mit Material von Peter Marwan, silicon.de]

Tipp: Wie gut kennen Sie sich mit Druckern aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.