Hacker kapert angeblich 150.000 Netzwerkdrucker

Ein Hacker, der sich selbst „Stackoverflowin“ nennt, hat offenbar einen Weg gefunden, die von Forschern der Ruhruniversität Bochum entdeckten schwerwiegenden Schwachstellen in netzwerkfähigen Druckern namhafter Hersteller massenhaft auszunutzen. Ihm ist es nach eigenen Angaben gelungen, zumindest vorübergehend die Kontrolle über mehr als 150.000 betroffene Geräte zu übernehmen, indem er sie dazu brachte, von ihm verfasste Nachrichten auszudrucken.

Einige der Nachrichten unterstellen, dass die fraglichen Drucker nun Teil eines Botnetzes sind. Im Gespräch mit Bleeping Computer räumte er jedoch ein, dass dies nicht der Fall sei. Vielmehr wolle er Nutzer darauf aufmerksam machen, dass ihre Geräte nicht sicher seien.

„Der Hacker-Gott Stackoverflowin ist zurück, ihr Drucker ist Teil eines flammenden Botnetzes“, heißt es in einer der Nachrichten. Andere Betroffene forderte er auf, offene Netzwerkports zu schließen. Die meisten Nachrichten enthielten zudem Informationen, um den Hacker per E-Mail und Twitter zu kontaktieren.

Die Drucker griff der Hacker über den Port 9100 an, der beispielsweise in einem Router geschlossen werden kann. Sicherheitsexperten raten zudem, die Konfigurationseinstellungen netzwerkfähiger Drucker mit einem Passwort zu schützen, um Manipulationen zu verhindern.

„Es geht mir darum, den Leuten zu helfen, ihre Probleme zu lösen, und dabei ein bisschen Spaß zu haben“, ergänzte der Hacker. „Alle haben es gelassen aufgenommen und mir gedankt, um ehrlich zu sein.“ Die 150.000 Drucker, auf die er zugegriffen habe, seien unter anderem von Brother, Canon, Epson, HP, Lexmark und Minolta hergestellt worden.

Die von den Bochumer Forschern entdeckten Schwachstellen erlauben es unter Umständen, aus der Ferne in Druckern gespeicherte Druckaufträge auszulesen. Ihnen zufolge sind sie schon seit mehreren Jahren bekannt. Sie wurden aber bisher noch nicht beseitigt, was Jens Müller vom Lehrstuhl für Netz- und Datensicherheit bei Recherchen für seine Doktorarbeit feststellte.

Zusammen mit seinen Kommilitonen Vladislav Mladenov und Juraj Somorovsky entwickelte Müller zudem ein Printer Exploitation Toolkit genanntes Werkzeug. Mit seiner Hilfe kann ein Nutzer per USB oder Internet eine Verbindung zu einem Drucker herstellen und Schwachstellen in den gebräuchlichen Druckersprachen wie PostScript und PJL ausnutzen. Das Toolkit, das auch auf GitHub verfügbar ist, übersetzt einfache Befehle in die komplexen Druckersprachen. Dafür wird lediglich die IP-Adresse eines anfälligen Druckers benötigt. Weitere Details halten die Forscher in einem Wiki bereit.

Die Arbeit der Forscher hat zudem eine Diskussion über die Sicherheit von Netzwerkdruckern in Unternehmen ausgelöst. Tatsächlich waren sie offenbar die ersten, die sich systematisch und auch herstellerübergreifend mit dem Thema beschäftigt haben. Angriffe auf die Lücken lassen sich aber oft mit zusätzlichen Tools verhindern, wie sie Hersteller wie HP, Brother (zumindest in den USA), Lexmark (Empfehlungen hier als PDF), Kyocera (Kyocera-Whitepaper zur Drucker-Sicherheit als PDF) oder Samsung (Samsung-Whitepaper zur Drucker-Sicherheit als PDF) anbieten.

[mit Material von Matthew Broersma, Silicon.co.uk]