Verkannte Gefahr

So sichern Sie Ihren Netzwerkdrucker ab

Sonntag den 07.04.2013 um 07:05 Uhr

von Moritz Jäger

Bildergalerie öffnen So sichern Sie Ihren Netzwerkdrucker ab
© Konica, Brother
Netzwerkdrucker sind oftmals komplette Linux-Server, die rund um die Uhr mit dem Netzwerk verbunden sind. Ihre potenziellen Sicherheitsrisiken übersieht man aber oft - das kann gefährlich werden.
Wen man von IT-Angriffen spricht, denkt man als erstes an Server und Arbeitsplatz-PCs als mögliche Ziele. Dabei übersieht man allerdings andere Systeme, die rund um die Uhr online sind, ebenfalls über das Netzwerk ansprechbar sind und sensible Daten verwalten - nämlich Drucker und Multifunktionsgeräte.

Meist wird unterschätzt, dass moderne Multifunktionsgeräte von den Funktionen her an eine einfache Workstation oder an einen Server herankommen: Oftmals basiert das Betriebssystem auf einem Linux-OS, um das der jeweilige Hersteller seine eigene Oberfläche und Verwaltungsfunktionen entwickelt. Wie jeder Rechner gibt es daher auch in den Betriebssystemen der Drucker Schwachstellen und Fehler, die ein potentieller Angreifer ausnutzen kann. Im schlimmsten Fall kann er das komplette System übernehmen und auf dem Drucker eigene Software installieren. Wie das geht, hat der Sicherheitsexperte auf der BlackHat-Konferenz 2006 demonstriert, seine Präsentation ist hier als PDF verfügbar .

Abgefangen:Bei der Man-in-the-Middle-Attacke schaltetet
sich der Angreifer zwischen den Drucker und die Nutzer, fängt alle
Druckaufträge ab, erstellt Kopien und leitet sie an das Gerät
weiter.
Vergrößern Abgefangen:Bei der Man-in-the-Middle-Attacke schaltetet sich der Angreifer zwischen den Drucker und die Nutzer, fängt alle Druckaufträge ab, erstellt Kopien und leitet sie an das Gerät weiter.

Solche Angriffe setzen allerdings einiges an Know How voraus. Deutlich häufiger sind dagegen Attacken auf die Konfigurationsseite des Druckers selbst. Was gerne übersehen wird: Nahezu alle modernen Multifunktionsgeräte enthalten einen kompletten Webserver. Über diesen können Administratoren das Gerät konfigurieren und Informationen zum Netzwerk oder dem Status von Verbrauchsmaterialen abfragen. Diese Webseiten können nicht nur im lokalen Netzwerk von jedermann abgefragt werden, bei einer falschen Konfiguration kann man auch über das Web direkt auf die Systeme zugreifen. So zeigt eine einfache Google-Suche nach „inurl:hp/device/this.LCDispatcher“ etwa zahlreiche Einträge an - viele führen zu aktiven HP-Druckern und deren Konfigurationsseiten. Das klappt nicht nur bei HP, sondern nahezu bei allen anderen namhaften Herstellern. Haben Angreifer erst einmal die Konfigurationsseite gefunden, ist ein administrativer Zugriff meist nicht mehr weit entfernt: Standard-Passwörter werden inzwischen zwar geändert, die Geräte sind aber nur selten in eine Passwortverwaltung eingebunden. Damit sind sie relativ einfache Ziele für Brute-Force-Attacken mit den entsprechenden Passwortlisten.

Router-Firewall einrichten

Doch selbst wenn Drucker nicht im Web stehen, so lassen sie sich im lokalen Netz meist einfach aufspüren. Die Geräte sind darauf ausgelegt, von jedermann ansprechbar zu sein, ein Netzwerkscanner wie Nmap spürt sie also meist ohne weiteres auf. Wichtige Ports sind zudem 515 für LPD, 631 für IPP und 9100 für den PDL Datastream - beispielsweise nutzt auch HP mit seinem JetDirect den Port 9100.

Portscanner: Mit Nmap Schwachstellen erkennen

Hat sich ein Angreifer erst einmal Zugriff auf die Konfigurationsseite beschafft, kann er einiges anstellen. So könnte er beispielsweise dem Gerät eine neue IP zuweisen, und auf die bisherige Drucker-IP einen Proxy-Server setzen. Dieser nimmt alle Aufträge entgegen, erstellt eine Kopie und leitet sie anschließend weiter. Innerhalb kurzer Zeit kommt so eine beträchtliche Sammlung an Firmeninterna zusammen.

Sonntag den 07.04.2013 um 07:05 Uhr

von Moritz Jäger

Kommentieren Kommentare zu diesem Artikel (0)
868664