VGV MEDIA
Brother Industries hat mit einer kritischen Sicherheitslücke zu kämpfen, die Hunderte verschiedener Druckermodelle betrifft. Diese Schwachstelle ermöglicht in Verbindung mit einer weiteren Lücke die Ausführung von nicht authentifiziertem Remote-Code (RCE) auf den Geräten.
Das Sicherheitsproblem wurde zusammen mit sieben weiteren von dem Cybersecurity-Anbieter Rapid7 entdeckt und kann ihm zufolge nicht durch eine Firmware-Aktualisierung behoben werden. Insgesamt sollen davon 689 verschiedene Gerätemodelle betroffen sein.
Die Sicherheitslücke im Überblick
Im Mittelpunkt der Veröffentlichung von Rapid7 steht CVE-2024-51978, eine als kritisch eingestufte Schwachstelle (CVSS 9,8 von 10), die es Angreifern ermöglicht, das Standard-Administratorpasswort aus der Seriennummer des Geräts abzuleiten.
Grundlage für die Lücke sei das von Brother-Geräten verwendete Verfahren zur Generierung von Standardpasswörtern“, erklärt Rapid7 in einem Blogbeitrag. „Bei den betroffenen Geräten wird das Standardpasswort während des Herstellungsprozesses auf der Grundlage der eindeutigen Seriennummer des jeweiligen Geräts festgelegt.“
Weitere schwerwiegende Fehler sind Informationslecks, serverseitige Request-Fälschungen, Absturz verursachende Fehler und die Offenlegung von Anmeldedaten.
Weitere Schwachstellen bei Brother
Eine weitere, mittelschwere Sicherheitslücke (CVE-2024-51977) ermöglicht es einem Angreifer, die erforderliche eindeutige Seriennummer über die HTTP-, HTTPS- und IPP-Dienste des Ziels zu ermitteln. Allerdings kann die Seriennummer auch durch eine Standardabfrage über SNMP (Simple Network Management Protocol) oder PJL (Printer Job Language) festgestellt werden.
Sichert sich der Angreifer Admin-Zugriff, kann er mit CVE-2024-51979 eine weitere Schwachstelle ausnutzen. Dabei handelt es sich um eine hochkritische Buffer Overflow-Sicherheitslücke (CVSS 7.2), die über dieselben Schnittstellen (Kommunikationskanäle oder Ports) wie die erste erreichbar ist.
Die Kombination dieser Schwachstellen ermöglicht es dem Angreifer, nicht authentifizierten Remote-Code auszuführen, da er speziell gestaltete bösartige Eingaben über den Speicherüberlauf senden kann.
Nach Meinung von John Bambanek von Bambanek Consulting stellen Drucker nach wie vor eine typische Schwachstelle in der IT-Sicherheit dar. „Drucker sind oft IT-Geräte, die man einfach anschließt und dann vergisst. Daher werden Sicherheits-Ppatches leicht übersehen“, betont er. „Sie verfügen jedoch über Betriebssysteme. Deshalb können sie von Angreifern, die unbemerkt in einer Zielumgebung bleiben wollen, für einfache laterale Bewegungen und Persistenz genutzt werden.“
Rapid7 weist darauf hin, dass die Verkettung dieser beiden Schwachstellen Angreifern die vollständige Kontrolle verschafft, ohne dass sie Anmeldedaten oder physischen Zugriff benötigen.
Während Brother mittlerweile die Schwachstelle CVE-2024-51979 durch Firmware-Updates behoben hat, müssen Nutzer für die Behebung von CVE-2024-51978 ihren Drucker durch ein neues Modell ohne den Herstellungsfehler ersetzen.
„Laut Brother kann diese Schwachstelle nicht vollständig in der Firmware behoben werden, vielmehr ist eine Änderung des Herstellungsprozesses aller betroffenen Modelle erforderlich“, heißt es im Bericht von Rapid7.
Brother reagierte nicht auf eine Anfrage nach einer Stellungnahme.
Von Datenlecks bis hin zu vollständigen Geräteausfällen
Zu den sieben weiteren von Rapid7 entdeckten Brother-Lücken gehören ein Denial-of-Service-Fehler (DOS) (CVE-2024-51982) und eine Schwachstelle (CVE-2024-51983) mit CVSS-Werten von jeweils 7,5. Über diese können die Geräte mithilfe von fehlerhaften PJL- oder HTTP-Eingaben zum Absturz gebracht werden.
Zwei weitere Schwachstellen, CVE-2024-51980 und CVE-2024-51981, ermöglichen Server-Side Request Forgery (SSRF). Dadurch können Drucker manipulierte Anfragen an interne Netzwerke senden, mit denen sie nicht kommunizieren sollten. In Unternehmensumgebungen könnten Angreifer so interne Dienste auskundschaften, Zugriffskontrollen umgehen oder tiefer in das Netzwerk vordringen. Zudem legt CVE-2024-51984 Klartext-Anmeldedaten für Dienste wie LDAP oder FTP für authentifizierte Benutzer offen und bietet damit einen potenziellen Ausgangspunkt für weitergehende Angriffe.
Neben den 689 Brother-Geräten (Drucker, -Scanner und -Etikettendruckern) sind auch 46 Modelle von Fujifilm, fünf von Ricoh, zwei von Toshiba Tec und sechs von Konica Minolta von den Schwachstellen betroffen.
Mit Ausnahme der Admin-Bypass-Sicherheitslücke von Brother wurden alle Sicherheitslücken durch entsprechende Firmware-Updates behoben, fügt Rapid7 hinzu.
David Matalon, CEO von Venn, warnt davor, dass die Sicherheit von Remote-Arbeitsumgebungen weit über Laptops hinausgeht. „Drucker im Homeoffice werden oft übersehen, können aber zu ernsthaften Schwachstellen werden, zumal Peripheriegeräte fast immer WiFi-fähig sind“, mahnt er „Unternehmen müssen sich darauf konzentrieren, diese Angriffsfläche zu verkleinern. Sie sollten sicherstellen, dass ihre Unternehmensdaten unabhängig vom Gerät, auf dem sie gespeichert sind, oder vom Heimnetzwerk des Benutzers, geschützt sind.“ (jm)