Noch ein Thema, welches Administratoren in Firmen interessieren sollte. Ein Sicherheitsforscher hat fast 700 Brother-Drucker gefunden, die online erreichbar sind und einen Zugriff auf die Passwort-Reset-Funktion ermöglichen.
Anzeige
Das Internet of Things und der Ansatz der Gerätehersteller, die Inbetriebnahme von Geräten möglichst einfach zu gestalten, führt immer wieder zu gravierenden Sicherheitslücken.
Brother-Drucker per Internet konfigurierbar
Die Drucker wurden von Ankit Anubhav, Principal Researcher bei NewSky Security im Internet entdeckt. Über nicht abgesicherte Internetzugänge können Dritte vollen Zugriff auf die Administrationsoberfläche der Drucker erhalten.
Anubhav hat Bleeping Computer, wie diese hier schreiben, eine von entsprechenden Druckern zukommen lassen. Die Redaktion von Bleeping Computer hat auf einige zufällige URLs zugegriffen und eine Vielzahl von Brother-Druckermodellen entdeckt, wie z. B. DCP-9020CDW, MFC-9340CDW, MFC-L2700DW oder MFC-J2510, um nur einige zu nennen.
Ich habe selbst einen Kurztest gestartet und war binnen Sekunden in der Lage, auf diverse Administratorseiten von Brother-Druckern zuzugreifen. Dort hätte ich das Administratorkennwort verändern oder ein Firmware-Update anstoßen lassen. In Deutschland dümpeln über 400 Geräte mit Internetzugang herum, wobei nicht alle zugreifbar zu sein scheinen.
Einer der Gründe, warum der Administratorzugang für diese Drucker frei und ungeschützt per Internet zugreifbar ist, liegt in Brothers Entscheidung, die Drucker ohne Admin-Passwort auszuliefern. Die meisten Nutzer verbanden die Drucker mit ihren Netzwerken, ohne zu merken, dass das Admin-Panel vorhanden und für Verbindungszugriffe per Internet offen war. Diese Drucker sind nun über IoT-Suchmaschinen wie Shodan oder Censys leicht zu finden.
Der Sicherheitsforscher wunderte sich, dass unter den Betroffenen eine Menge Universitäten waren. Er plant, die betreffenden Organisationen zu informieren. Administratoren in Firmen sollten prüfen, ob Drucker und andere Geräte im Netzwerk per Internet erreichbar sind und ob dort der Administratorzugang per Kennwort abgesichert ist. Ein Schutz der Art user, user reicht übrigens nicht – binnen Sekunden hatte ich über Shodan Einblick in Energieanlagen in Europa, weil diese genau mit diesem Kennwort abgesichert waren. Weitere Informationen sind bei Bleeping Computer zu finden.
2015
Ich finde es gut das hier im Blog auch ein solches Sicherheits-Thema bekannt gemacht wird.
Nicht nur Brother-Drucker sind davon betroffen, Konica Minolta ebenfalls
Im letzten Jahr gab es nämlich auf all diese Geräte einen Fake Angriff von einem Studenten aus San Francisco.
Hatte letztes Jahr einen Bericht bei Heise Security gelesen und im Sommer dann per Zufall dann ein bedrucktes Blatt Papier im Müll neben dem Drucker gefunden worauf ich dann unsere Leasing Partner verständigt habe der für den Drucker Verantwortlich ist.
Dabei hat sich herausgestellt das unser Konica Minolta Drucker ebenfalls davon betroffen war, zum glück gab es einen Patch der dieses Problem nun behoben hat.
Ich bin zwar der Erste Ansprechpartner für Sicherheit und IT in der Firma, aber wenn die Hardware bei uns etwas merkwürdiges tun bin ich der letzte der es erfährt.