IT-Sicherheit: Etwa 80.000 Drucker sind im Internet offen ansteuerbar

Das IT-Security-Team von Shadowserver hat im Juni 2020 einen global umspannenden IPP-Portscan der insgesamt etwa 4,3 Milliarden möglichen IP-Adressen des IPv4-Adressraums durchgeführt. Ziel war, herauszufinden, ob es Netzwerkdrucker mit Internet-Printing-Protocol-Unterstützung (IPP) gibt, die offen ansteuerbar sind. Das Ergebnis ist interessant: Zwischen 79.000 und 80.000 Drucker werden täglich aufgespürt. Die Erkenntnisse hat das Team in einem Bericht zusammengefasst.

Stellenmarkt

1. MLF Mercator-Leasing GmbH & Co. Finanz-KG, Schweinfurt
2. Computacenter AG & Co. oHG, verschiedene Standorte

Angreifer können sich durch die offen kommunizierenden Drucker Informationen zu Druckermodellen, deren Standort, Firmware-Versionen der Drucker und auch WLAN-SSIDs der Geräte verschaffen. Anschließend ist es etwa möglich, mögliche Sicherheitslücken in diesen Geräten auszunutzen und in Firmennetzwerke einzudringen. Der Scan von Shadowserver sendet das Kommando IPP Get-Printer Attributes auf dem TCP-Port 631. Über diesen ist laut der Seite Speedguide etwa auch eine Denial-of-Service-Attacke auf den MacOS-Drucker-Sharing-Dienst möglich.

Falschkonfiguration der Drucker

Das Auslesen von Informationen ohne Rechte sollte mit IPP eigentlich verhindert werden, da das Protokoll Funktionen wie Verschlüsselung und Authentifizierung per TLS unterstützt und zum Internetprotokoll HTTPS kompatibel ist. IPP ermöglicht es Druckern, von außerhalb eines lokalen Netzwerkes Druckeraufträge durchzuführen, abzubrechen oder den Status des Druckers abzufragen, was für IT-Dienstleistungsunternehmen sinnvoll sein kann. Eine beliebte Implementation des Protokolls ist der quelloffene Druckerdienst Cups, der von Apple entwickelt wird.

Allerdings müssen Sicherheitsfunktionen richtig konfiguriert werden, was laut Shadowserver oft nicht der Fall ist. Außerdem sollten sich betroffene Drucker hinter einer Firewall befinden, um weniger angreifbar zu sein.

Insgesamt gibt es laut dem Security-Team etwa 700.000 IPP-Drucker im Internet, erreichbar etwa über die Binaryedge-Suchmaschine. Es wurden also etwa 11,5 Prozent aller IPP-kombatiblen Geräte falsch oder nicht sicher genug eingerichtet. Dabei ist Südkorea mit Abstand die Nation mit den meisten angreifbaren Druckern im Internet. 36.300 gescannte Geräte stammen aus dieser Gegend. An zweiter Stelle sind die USA mit 7.900 Geräten, gefolgt von Taiwan mit 6.700 Geräten. Deutschland ist mit 1.400 Druckern auf Platz zehn.

Shadowserver hat betroffene Geräte auch nach gemeldetem Modellnamen aufgelistet. Unter diesen sind Geräte von Samsung, Brother und HP, wobei Samsung mit Abstand die meisten gescannten Modelle verzeichnet. Das würde erklären, warum das Heimatland und der starke Markt Südkorea an erster Stelle der Nationen steht.