IT-Sicherheit: Etwa 80.000 Drucker sind im Internet offen ansteuerbar
Die Security-Organisation Shadowserver hat einen globalen IPP-Scan durchgeführt und viele Drucker gefunden, die offen Informationen teilen.
Das IT-Security-Team von Shadowserver hat im Juni 2020 einen global umspannenden IPP-Portscan der insgesamt etwa 4,3 Milliarden möglichen IP-Adressen des IPv4-Adressraums durchgeführt. Ziel war, herauszufinden, ob es Netzwerkdrucker mit Internet-Printing-Protocol-Unterstützung (IPP) gibt, die offen ansteuerbar sind. Das Ergebnis ist interessant: Zwischen 79.000 und 80.000 Drucker werden täglich aufgespürt. Die Erkenntnisse hat das Team in einem Bericht zusammengefasst.
Angreifer können sich durch die offen kommunizierenden Drucker Informationen zu Druckermodellen, deren Standort, Firmware-Versionen der Drucker und auch WLAN-SSIDs der Geräte verschaffen. Anschließend ist es etwa möglich, mögliche Sicherheitslücken in diesen Geräten auszunutzen und in Firmennetzwerke einzudringen. Der Scan von Shadowserver sendet das Kommando IPP Get-Printer Attributes auf dem TCP-Port 631. Über diesen ist laut der Seite Speedguide etwa auch eine Denial-of-Service-Attacke auf den MacOS-Drucker-Sharing-Dienst möglich.
Falschkonfiguration der Drucker
Das Auslesen von Informationen ohne Rechte sollte mit IPP eigentlich verhindert werden, da das Protokoll Funktionen wie Verschlüsselung und Authentifizierung per TLS unterstützt und zum Internetprotokoll HTTPS kompatibel ist. IPP ermöglicht es Druckern, von außerhalb eines lokalen Netzwerkes Druckeraufträge durchzuführen, abzubrechen oder den Status des Druckers abzufragen, was für IT-Dienstleistungsunternehmen sinnvoll sein kann. Eine beliebte Implementation des Protokolls ist der quelloffene Druckerdienst Cups, der von Apple entwickelt wird.
Allerdings müssen Sicherheitsfunktionen richtig konfiguriert werden, was laut Shadowserver oft nicht der Fall ist. Außerdem sollten sich betroffene Drucker hinter einer Firewall befinden, um weniger angreifbar zu sein.
| Druckertyp | IPv4-Anzahl |
|---|---|
| Local Raw Printer | 2893 |
| Samsung C48x Series | 899 |
| Samsung M267x 287x Series | 399 |
| Brother DCP-1200 – CUPS+Gutenprint v5.2.10 | 327 |
| CNMF633C/635C | 249 |
| Samsung M2070 Series | 236 |
| HP Business Inkjet 2200 – CUPS+Gutenprint v5.2.10 | 232 |
| HP ColorLaserJet MFP M278-M281 | 215 |
| Samsung M332x 382x 402x Series | 211 |
| HP LaserJet M402dn | 190 |
| SINDOH D410 | 187 |
| CNMF230 Series | 187 |
| HP LaserJet MFP M129-M134 | 182 |
| SINDOH D410 | 182 |
| Samsung X3220 Series | 180 |
| Samsung M337x 387x 407x Series | 163 |
| Samsung C43x Series | 160 |
| Epson Artisan 50 – CUPS+Gutenprint v5.2.10 | 154 |
| HP LaserJet Pro MFP M127fn | 149 |
| HP Color LaserJet MFP M477fdw | 143 |
Insgesamt gibt es laut dem Security-Team etwa 700.000 IPP-Drucker im Internet, erreichbar etwa über die Binaryedge-Suchmaschine. Es wurden also etwa 11,5 Prozent aller IPP-kombatiblen Geräte falsch oder nicht sicher genug eingerichtet. Dabei ist Südkorea mit Abstand die Nation mit den meisten angreifbaren Druckern im Internet. 36.300 gescannte Geräte stammen aus dieser Gegend. An zweiter Stelle sind die USA mit 7.900 Geräten, gefolgt von Taiwan mit 6.700 Geräten. Deutschland ist mit 1.400 Druckern auf Platz zehn.
Shadowserver hat betroffene Geräte auch nach gemeldetem Modellnamen aufgelistet. Unter diesen sind Geräte von Samsung, Brother und HP, wobei Samsung mit Abstand die meisten gescannten Modelle verzeichnet. Das würde erklären, warum das Heimatland und der starke Markt Südkorea an erster Stelle der Nationen steht.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Ja, lustíg. Tatsächlich wurden aber auch schon Firmennetze infiltriert, mit unsicheren...
Oh je, er wollte doch bloss wissen wie er das kontrollieren kann um es gegebenenfalls zu...
Es reicht ein Portmapping im Router einzurichten, mit genügend Unwissenheit macht uPnP...