Kritische Sicherheitslücke bei über 100 HP Druckermodellen bekannt geworden

Von zahlreichen HP Multifunktionsdruckern wurden unter anderem kritische Sicherheitslücken entdeckt. Durch eine der Schwachstellen könnten Angreifer beliebigen Schadcode einschleusen. Außerdem könnten sich Cyberkriminelle im Netzwerk einnisten oder sich Schadcode wurmartig von Drucker zu Drucker verbreiten. HP stellt für mehr als 100 betroffene Druckermodelle Firmware Updates bereit. An den Drucker als Einfallstor in das lokale Netzwerk für Einbrecher oder Schadsoftware denkt fast niemand. Für gewöhnlich werden Drucker beim Patchmanagement deshalb auch selten bis nie berücksichtigt.

Sicherheitsforscher von F-Secure haben sich die Hard- und Software eines der betroffenen Drucker genauer angesehen. Die Lücken ließen sich durch das Drucken manipulierter Postscript-Dateien ausnutzen, um beliebigen Code einzuschleusen und auszuführen. Die ersten Analysen fanden an einer Firmware aus dem Jahr 2013 statt, die sie auf dem Testgerät vorfanden. Als das Eindringen darin gelang, nahmen sie sich die zum Testzeitpunkt aktuelle Firmware vor. Mit einigen Anpassungen ließen sich die Lücken auch darin noch ausnutzen. Auf HPs FTP-Servern lagen Firmware-Dateien für weitere Geräte, die die IT-Experten auf die gefundene Schwachstelle abklopften. In ihrem ausführlichen Bericht erläutern die F-Secure-Forscher, wie sie vorgegangen sind. Der Kritischste wäre ein Angriff via Cross-Site-Printing: Der Webbrowser sendet etwa beim Besuch einer bösartigen Webseite einen HTTP POST-Request mit dem Schadcode an den JetDirect-Port 9100 (TCP). Angreifer könnten Nutzer etwa mit einer E-Mail auf solch eine präparierte Seite locken.
Außerdem gelänge das Drucken – und damit Infizieren – auch von einem anderen bereits übernommenen Gerät: Die Lücke ließe sich von einem Wurm ausnutzen, sich selbständig im Netzwerk fortpflanzender Code. Weitere Einfallstore wären das Drucken einer manipulierten Datei von einem USB-Stick, via direkten Anstöpseln eines Geräts an den RJ45-Port oder beispielsweise mittels Social Engineering.

Eine weitere Sicherheitsmeldung von HP betrifft eine zweite Schwachstelle (CVE-2021-39237, hohes Risiko), die die F-Secure-Forscher gefunden haben. Dazu benötigen Angreifer jedoch physischen Zugriff auf die Drucker. Am Ende könnten sie dadurch unbefugt an Informationen wie Druckaufträge oder gespeicherte Zugangsdaten gelangen.
HP listet in einem Security-Bulletin zur kritischen Lücke die diversen betroffenen Modellreihen auf (CVE-2021-39238, CVSS 9.3). HP-Nutzer sollten die Liste unter „Affected Products“ in der Sicherheitsmeldung prüfen, ob die eigenen eingesetzten Modelle darunter sind. Aktualisierte Firmware stellt Hewlett Packard auf der Support- und Download-Seite bereit, auf der man nach der Modellnummer suchen kann. Diese sollten Administratoren zeitnah einspielen und künftig auch regelmäßig das Aktualisieren von Drucker-Firmwares in die Patch-Planung mit aufnehmen.