[English]Der Hersteller HP warnt in einer Sicherheitsmeldung vor einer Remote Code Execution (RCE) Schwachstelle in hunderten seiner Druckermodelle. Angreifer könnten die Schwachstelle ausnutzen, um Schadcode in Systeme einzuschleusen. Der Hersteller hat aber Firmware-Updates bereitgestellt, um diese Schwachstelle zu entschärfen.
Anzeige
In den Sicherheitswarnungen HPSBPI03780 sowie HPSBPI03781 vom 21. März 2022 weist HP darauf hin, dass bestimmte HP Druckermodelle anfällig für Remote Code Execution (RCE) und Pufferüberläufe sein können. Die beiden Sicherheitswarnungen adressieren kritische Sicherheitslücken, die Hunderte von LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format und DeskJet-Druckermodellen betreffen.
In der Sicherheitswarnung HPSBPI03780 wird nur die von Trend Micro gemeldet Schwachstelle CVE-2022-3942 erwähnt. HP weist darauf hin, dass bestimmte HP Print- und Digital Sending-Produkte bei Verwendung von Link-Local Multicast Name Resolution (LLMNR) anfällig für die Ausführung von Remote Code Execution (RCE) und Pufferüberläufe sein können. Details zu CVE-2022-3942 werden keine offen gelegt – die Schwachstelle hat jedoch, wegen eines Pufferüberlaufs und der Remote Code Execution einen CVE-Score von 8.4 erhalten, die HP selbst als kritisch einstuft.
In der zweiten Sicherheitswarnung HPSBPI03781 werden drei weitere, von Trend Micro gemeldet, Schwachstellen beschrieben. Bestimmte HP Druckgeräte sind möglicherweise anfällig für die Offenlegung von Informationen, die Verweigerung von Diensten oder die Remotecode-Ausführung.
- CVE-2022-24291: CVSS 7.5, High
- CVE-2022-24292: CVSS 9.8, Critical
- CVE-2022-24293: CVSS 9.8, Critical
Für alle diese Sicherheitslücken hat HP entsprechende Firmware-Updates zum Schließen der Schwachstellen freigegeben. Eine Liste der betroffenen HP-Produkte findet sich in den beiden Sicherheitswarnungen HPSBPI03780 und HPSBPI03781. Die Firmware für betroffene Geräte sollte sich über die HP-Download-Seite herunterladen lassen.
Der erste Reflex wäre: Da die Schwachstellen als hoch oder kritisch eingestuft sind, sollte eine zeitnahe Aktualisierung der Drucker-Firmware vorgenommen werden. Die Frage ist aber, ob durch dieses Update nebenbei so nette Kollateralschäden wie der Zwang zur Verwendung von HP-Original-Patronen oder Toner-Kartuschen auftreten. Wenn der Drucker nicht per Internet erreichbar ist und im Firmennetz in einem VLAN isoliert wird, dürfte das Risiko auch ohne Firmware-Update begrenzbar sein. Diese Lösung muss sowieso herangezogen werden, wenn für ein Gerät keine Firmware-Aktualisierung verfügbar ist.
Ähnliche Artikel:
Printjack: Sicherheitsforscher warnen vor Angriffen auf Drucker
HP-Multifunktionsgeräte und die Smart-App: Scanner-Terror 2021
HP blockt Dritthersteller-Tintenpatronen per Firmware-Update
Neues vom HP-Firmware-Drucker-Gate
Firmware-Update: HP-Office Jets mögen wieder Fremdtinte
Firmware-Update blockt erneut Fremdpatronen in HP Officejet
Blockt HP-Firmware-Update Dritthersteller-Tintenpatronen?
Blockt HP wieder Dritthersteller Tintenpatronen (Jan. 2019)?
HP-Firmware-Upgrade blockt erneut Fremdpatronen (Mai 2019)
Nachrecherchiert: HP-Firmware-Update blockt Fremdpatronen
HP-Firmware-Update für Tinten-/Laserdrucker blockt Fremd-Kartuschen (Nov. 2020)
Tipps: Firmware-Downgrade für HP-Drucker
HP CEO über Tintendrucker und Fremdpatronen
HP: Fragt künftig die Papiersorte im Drucker ab?
Falle: HP Instant Ink
Sammelklage gegen HP wegen geblockter Drucker-Cartridges
HP bringt immer mehr Drucker mit HP+ Option
Printing Shellz: Sicherheitslücken in HP-Druckern/-Multifunktionsgeräten
Epson deaktiviert Drucker bei Kunden wegen unverschuldeter Zahlungsprobleme
2015
Guten Morgen zusammen,
bei Druckern lt. Liste, welche nur mit USB angeschlossen sind, gibts nichts zu beachten oder?
Danke
Schönen Donnerstag
Das Zitat "Wenn der Drucker nicht per Internet erreichbar ist und im Firmennetz in einem VLAN isoliert wird, dürfte das Risiko auch ohne Firmware-Update begrenzbar sein." sollte die Frage beantworten.
Wir haben mittlerweile alle unserere Drucker in einen vom Internet getrennten VLAN verschoben. Das Killerfeature gibt es nicht für das ein Drucker unbedingt Internetzugang bzw. vom Internet aus erreichbar sein muss, zumindest nicht bei uns und wenn gibt es andere und vor allem sicherer Lösungen.
Und der Rest eures Netzes ist aus dem Internet erreichbar? Ein VLAN ist grundsätzlich eine feine Sache, denn es schützt kritische Systeme davor, von jedermann erreichbar zu sein. In ein VLAN gehören ILOs, DRACs etc. Aber ein Drucker sollte idR. doch von allen Anwendern erreichbar sein.
imho: Der Drucker sollte für den Druck-Server (sofern einer genutzt wird) erreichbar sein, nicht zwingend für den Endanwender.
Danke für den letzten Absatz. So eine Einordnung würde ich (nicht nur hier) gern öfter lesen. Zumal auch seitens HP nirgends erklärt wird, wie sich denn diese (angeblichen?) Schwachstellen nun ausnutzen lassen, und auf welche Weise sie welchen Schaden anrichten können.
Den Wunsch kann ich nachvollziehen. Beachtet aber bitte: Oft liegen mir keine Infos vor, was genau Sache ist. Zudem bedingt eine solche Einschätzung, dass ich mich mit der Problematik – die oft Bereiche betrifft, von denen ich Null praktische Anhnung habe (ich betreibe hier z.B. kein Lab mit zig Windows Servern samt Active Directory-Strukturen und entsprechender Peripherie) – sehr intensiv auseinander setzen müsste. Könnte ich natürlich alles tun – und tue ich auch (je nach Tagesverfassung) gelegentlich. Aber durchgängig umsetzen? Die Infos stehen hier kostenlos zur Verfügung.
Letztendlich würde es bedeuten, dass ich euren Job machen müsste – und wenn ich sehe, dass ein Artikel hier vielleicht 1-5 Euro Umsatz generiert (die lieben Ad-Blocker-Nutzer und Cookie-Ablehner schaffen so um die 60% Ablehnung), dann verkneife ich mir dann doch öfters "eine weitere Recherche" – denke mir "sollen die, die betroffen sind und für ihren Job bezahlt werden, doch bitte selbst die Einschätzung vornehmen – die sollten im Stoff drin sein" und gehe lieber eine Runde spazieren ;-).
PS: Zudem gibt es ja gerne Diskussionen über solche Bewertungen (sehe ich an den Kommentaren, wenn ich mir Software in Bezug auf DLL-Hijacking oder andere Schwachstellen vornehme, oder über Privilegien Escalation-Schwachstellen berichte).
Die Idee des Blogs ist: Ich agiere (solange ich es noch kann und gebacken bekomme) als Informations-Broker, der Infos bereitstellt. Wenn ich was aus der Lameng ergänzen kann, tue ich das. Zudem steuern viele Admins hier ja weitere Infos und Einschätzungen bei – so haben alle was davon – aber letztendlich muss jeder Admin oder Betroffene selbst Entscheidungen treffen – imho.
3x *thumbs up* !!!
Anmerkung zu Ad-Blocker:
Ich gehöre auch zu diesen Nutzern.
Zu frühen Zeiten des Internets, als Werbung (falls vorhanden) mehrheitlich dezent oben oder unten eines Seitenbereichs angezeigt wurde, hat mich diese kaum gestört. Als die Anbieter jedoch mit Popups und Text unterbrechende Werbung begannen, fühlte ich mich zusehends gestört davon, zweiteres vor allem beim Markieren von Text, sofern ich diesen ausdrucken will. Ganz übel finde ich übrigens die beim Scrollen "mitlaufenden" Werbeblöcke.
Auf den Blog bezogen:
Die Werbung im Seitenbereich rechts finde ich ok. Wenn diejenige im Hauptbereich vor dem Blog-Titel und allenfalls ein kleiner Block zwischen den Links und den Kommentaren angezeigt würde, käme eine Ausnahme-Regelung im Ad-Blocker für mich in Frage.
Das sollte aber auch auf die Startseite zutreffen (Werbung nur oben und rechts).
Spende halt, macht das Gewissen frei ;)
Was für Auswirkungen und Schäden man mit Remote Code Execution (RCE) und Pufferüberläufen erzielen kann, sollte dem interessierten BLOG Leser bekannt sein. Ansonsten kann man das ergoogeln. Wer nicht versteht, was das ist, kann mit detaillierteren Infos sowieso nichts anfangen.
Dass Sicherheitslücken nicht im Detail beschrieben werden, ist zudem üblich und auch gut, denn sonst würde es dazu führen, dass selbst ein Laie versuchen würde, diese auszunutzen und ggf. erfolgreich wäre. Dass Geräte, die aus dem Internet erreichbar sind, besonders gefährdet sind, ist eigentlich auch bekannt. Im LAN ist das Risiko deutlich geringer, wenn auch immer noch potentiell vorhanden. Auch das ist eigentlich nichts neues. Dass ein Firmwareupdate auch eine Verschlimmbesserung mit sich bringen kann, ist auch keine wirklich neue Erkenntnis und sollte daher immer gründlich abgewogen werden.
Insofern gibt der Bericht eigentlich alles her, um die Information selbst zu transportieren und nennt genug Quellen, um ggf. selbst weiter recherchieren zu können. Das ist zumindest genau meine Erwartungshaltung und diese erfüllt Günter Born für gewöhnlich außerordentlich gut. Auf dem Wege mal ein Dankeschön dafür.
Mein Kommentar war explizit als Dankeschön an Günter Born gedacht und nicht als Kritik — siehe das allererste Wort.
Unter den Links habe ich keinerlei brauchbare Information gefunden — und noch einmal, das ist nicht Herrn Born anzulasten.
Grundlegende Mechanismen, wie Schadsoftware wirkt, sind mir bekannt. Trotzdem — oder gerade deswegen — wären Informationen gut, auf welchem Weg denn jetzt konkret die anscheinend oder angeblich bestehenden Lücken ausgenutzt werden können, damit ich beurteilen kann, ob ich überhaupt betroffen bin. Und zum dritten Mal: Das ist kein Vorwurf an Herrn Born, im Gegenteil, fand ich seine Einschätzung, dass es wohl Drucker, die nicht mit dem Internet verbunden sind, eher nicht betrifft, sehr hilfreich. Insbesondere, ich wiederhole auch dies, weil es seitens HP eben keine weitere Information gibt (oder ich diese nicht gefunden habe).
Habe deinen Kommentar auch nicht als Kritik betrachtet (da werden mir in FB-Gruppen ganz andere Kaliber an den Kopf geworfen – aber da stehe ich drüber). Nur möchte ich auch die Hintergründe und Widrigkeiten auf der Seite eines Blog-Betreiber für die Leserschaft aufzeigen.
Perfekter kann man es nicht zusammenfassen:
"Wenn der Drucker nicht per Internet erreichbar ist und im Firmennetz in einem VLAN isoliert wird, dürfte das Risiko auch ohne Firmware-Update begrenzbar sein. Diese Lösung muss sowieso herangezogen werden, wenn für ein Gerät keine Firmware-Aktualisierung verfügbar ist."
Im gestrigen Heise-Artikel zum Thema kommentiert jemand, dass er nur die Basis-Druckertreiber von HP verwendet, und damit komplett zurechtkommt. Zu den Basistreibern gebe es auch keine aktuelle Meldung zu Sicherheitslücken.
Immer wieder erschreckend, wie ein Gerät, das jahrzehntelang nur direkt an PCs angeschlossen wurde, bzw. nur im Heimnetz betrieben wird, plötzlich unbedingt zum IoT-Gerät hochgepusht werden muss, und erst dadurch das Risiko von Sicherheitslücken entsteht.
Ich warte mit Grausen auf die kommenden Jahre, wenn irgendwann das autonome Autofahren eingeführt/erlaubt werden wird… trotz aller Bedenken wegen der dann nötigen Internetanbindung.