Mehr als 700 Modelle: Unzählige Drucker werden über Sicherheitslücken attackiert
Sicherheitsforscher von Rapid7 hatten im Juni vor mehreren Sicherheitslücken gewarnt, die über 700 verschiedene Druckermodelle der Hersteller Brother, Fujifilm, Konica Minolta, Ricoh und Toshiba betreffen. Experten von Crowdsec haben inzwischen Hinweise auf eine aktive Ausnutzung dieser Lücken gefunden. Besitzer anfälliger Drucker sollten dringend Maßnahmen ergreifen, um sich vor möglichen Angriffen zu schützen.
Die Scans von Crowdsec beziehen sich konkret auf die Sicherheitslücke CVE-2024-51977(öffnet im neuen Fenster) . Diese ist mit einem CVSS-Wert von 5,3 zwar nur als mittelschwer eingestuft, jedoch lassen sich darüber ohne Authentifizierung gerätespezifische Informationen abrufen, die anschließend eine Ausnutzung der weitaus gefährlicheren Lücke CVE-2024-51978(öffnet im neuen Fenster) ermöglichen.
Durch CVE-2024-51978 können Angreifer unter Kenntnis der Seriennummer eines anfälligen Druckers auf das Standardpasswort des Gerätes schließen. Durch die Kombination der beiden Sicherheitslücken ist es also möglich, ohne vorherige Authentifizierung einen Admin-Zugriff zu erlangen und anfällige Geräte beispielsweise in ein Botnetz einzugliedern oder anderweitig für weiterführende Angriffe zu missbrauchen.
Angriffswelle seit dem 9. Juli
Crowdsec beobachtet die Ausnutzung von CVE-2024-51977 nach eigenen Angaben(öffnet im neuen Fenster) seit dem 4. Juli. Erste Angriffe erscheinen in der Exploit Timeline aber erst ab dem 9. Juli. Die beobachteten Angriffe scheinen zum Teil sehr gezielt, zum Teil aber auch willkürlich zu erfolgen. Einige Angreifer erkunden offenbar bestimmte Ziele, wohingegen andere das Internet wahllos nach möglichen Angriffszielen abscannen.
Insgesamt will Crowdsec 150 IP-Adressen erfasst haben, von denen die Angriffe bisher ausgegangen sind. Zuletzt sollen die Attacken zudem deutlich zugenommen haben. Da die erfassten Daten nur aus der Crowdsec-Community stammen, ist anzunehmen, dass die tatsächliche Anzahl an Angriffsversuchen noch wesentlich höher ist.
Wer seinen Drucker vor entsprechenden Angriffen schützen will, sollte dringend die Firmware aktualisieren. Die betroffenen Hersteller haben Patches bereitgestellt. Eine Ausnahme bildet CVE-2024-51978. Diese Sicherheitslücke kann nur von Anwendern geschlossen werden, indem sie das Admin-Passwort des jeweiligen Gerätes ändern. Eine Liste aller anfälligen Drucker ist in den CVE-Records(öffnet im neuen Fenster) der genannten Sicherheitslücken(öffnet im neuen Fenster) zu finden. Dort sind am Ende auch die Update-Hinweise der einzelnen Hersteller verlinkt.