HP "Faxploit": Sicherheitslücke bei HP-Druckern größer als gedacht
Vor gut einer Woche haben wir über ein Firmwareupdate für über 150 HP-Tintendrucker berichtet. HP selbst beschreibt im Support-Bulletin c06097712
von Schwachstellen, die es Angreifen erlaubt, über manipulierte Daten Zugriff auf den Drucker zu gelangen.
"Faxploit": Fax-Funktion als Einfalltor - auch ohne Internet
Wie das israelische Sicherheitsunternehmen "Check Point" in einem Blogeintrag vom 13. August 2018 mitteilt, hat zumindest ein Teil der Lücken deutlich gravierendere Auswirkungen und mit der kaum beachteten Fax-Funktion ein unerwartetes Einfallstor.
"Faxploit": Zugriff auf den Drucker und im Netzwerk befindliche Geräte über ein manipuliertes Fax. Screenshot: Check-Point.
In einem Video wird gezeigt, wie der als "Faxploit" bezeichnete Angriff funktioniert. Kurz erklärt wird dazu ein manipuliertes Fax an einen HP-Drucker (im Beispiel ein Officejet Pro 8720) geschickt, der einige Daten fehlinterpretiert und somit Programmcode auf dem Drucker ausführt. In diesem wiederum wird im lokalen Netzwerk nach Computern gesucht und auf diesen gleichermaßen Code aufgespielt, der z.B. vertrauliche Dokumente sucht und diese dann beispielsweise wieder zurück zum Drucker schickt. Diese werden dann wiederum per Fax weitergeleitet. Der Angriff aus der Ferne komplett ohne Internetzugang ist abgeschlossen.
Dazu wird gegebenenfalls eine bereits seit längerem bekannte Lücke EternalBlue ausgenutzt. Der ganze Ablauf funktioniert hier auch ohne Internetverbindung des Druckers oder Computers. Mit der grundlegenden Methode sind jedoch vielschichtige Angriffe vorstellbar.
Davon, dass zumindest ein Teil der Sicherheitslücke die Fax-Funktion (Standard ITU T.30) von Druckern betrifft, ist bei HP nicht die Rede. Es ist also nicht ausreichend, die Internetfunktionalität seines HP-Druckers zu deaktivieren, um das Risiko von Angriffen zu minimieren.
"Faxploit": Ein Szenario beim Angriff eines HP-DruckersDiese Drucker sind betroffen
Durchgeführt hat man diese Lücke zumindest bei den Geräten Officejet 6830 sowie Officejet Pro 8720. Es ist davon auszugehen, dass sehr viel mehr HP-Drucker vom "Faxploit" betroffen sind.
HP hat eine Liste mit allen betroffenen Druckern online gestellt. Laserdrucker sollen nicht betroffen sein. Die Liste enthält jedoch auch Drucker ohne Fax-Funktion, die zumindest für diese Art von Angriffen nicht anfällig sein können.
Betroffene Serien
- HP OfficeJet
- HP OfficeJet Pro
- HP Officejet Pro X
- HP Envy
- HP Envy Photo
- HP Photosmart
- HP PageWide
- HP PageWide Managed
- HP PageWide Pro
- HP Deskjet
- HP DeskJet GT
- HP Deskjet Ink Advantage
- HP Ink Tank
- HP Ink Tank Wireless
- HP DesignJet
- HP AMP
Die aktualisierte Firmware findet sich auf der Support-Seite des Druckers. Zudem gibt es ein Dokument zur Erklärung, wie ein Firmwareupdate bei HP durchgeführt werden kann.
Sind auch andere Hersteller betroffen?
Laut "Check Point" ist davon auszugehen, dass auch Drucker anderer Hersteller grundsätzlich von der gleichen Lücke betroffen sein können. Die Nachfrage von Druckerchannel bei einigen Herstellern führte dazu bis jetzt jedoch zu keiner entsprechenden Äußerung.
Weil nach aktuellem Stand keine Laserdrucker von HP betroffen sind, scheint es kein generelles Problem des verwendeten Fax-Standards ITU T.30 zu geben.
In jedem Fall bedarf es aber auch tiefer gehende Kenntnisse zum Zugriff auf Speicher und Schnittstellen des Druckers. Bestätigt ist dies derzeit wie beschrieben bei ausgewählten HP-Druckern.
HP kennt die Lücke bereits seit Mai 2018
Das Sicherheitsunternehmen "Check Point" hat den kompletten Zeitverlauf von Kenntnisnahme seitens HP bis hin zur allgemeinen Veröffentlichung angegeben. Dabei wurde HP Anfang Mai auf das Problem hingewiesen, wobei nach deren Angaben unmittelbar an einem Patch gearbeitet wurde. Während das Firmwareupdate seit dem 1. August zur Verfügung steht, hat man die Lücke am 12. August auf der Konferenz DEVCON 26 veröffentlich.
Zeitlicher Ablauf, laut "Check Point" (engl.)
- 1. Mai 2018 – Vulnerabilities were disclosed to HP Inc.
- 1 May 2018 – HP Inc acknowledged our submission and started working on a patch.
- May – June 2018 – Coordinated effort to recreate the PoC and patch the vulnerabilities.
- 2-3 July 2018 – Face to Face meeting with HP Inc: The vulnerabilities were demonstrated and discussed. The patches by HP Inc were tested and approved by both parties.
- 23 July 2018 – The vulnerabilities were flagged as Critical.
- 1 August 2018 – HP Inc published the patched firmware on their site.
- 12 August 2018 – Official public disclosure during DEFCON 26.
Warnmeldung vom BSI
Mittlerweile warnt auch das "Bundesamt für Sicherheit in der Informationstechnik" (BSI). Sie stufen die Lücke mittlerweile in der höchsten Risikostufe 5 ein und empfehlen eine "zeitnahe Installation" des Updates.
Weitere technische Details
Ganz so trivial ist der Angriff jedoch nicht. Ohne weiteres ist es nicht möglich, die Kontrolle über den Drucker zu erlangen. In einer detaillierten Dokumentation wurde dabei am Beispiel HP über Reverse Engineering der Firmware herausgefunden, wie man mit den Schnittstellen (Fax, Ethernet, USB, Wlan, etc.) kommunizieren kann.
Zusammenfassung
Es gibt offenbar mindestens zwei Angriffsstellen für ausgewählte HP-Tintendrucker. Zum einen lassen sich manipulierte Druckdaten an einen HP-Drucker schicken, die Programmcode ausführen und damit Zugriff auf im Netzwerk verbundene Drucker haben kann. Des weiteren gibt es eine Sicherheitslücke, die aus der Ferne allein über die Fax-Funktion Angriffe ermöglicht. Welcher Drucker von welcher Lücke betroffen ist, gibt HP nicht explizit an.
Es gibt ein Firmware-Update für alle Drucker, die das Problem beheben sollen. Das BSI und auch Druckerchannel empfehlen dringend die aktualisierte Firmware aufzuspielen, auf jeden Fall, wenn der Drucker selbst über die Fax-Funktion mit der Telefonleitung verbunden ist.
Verweigerung von Fremdtinten durch Firmwareupdate
Nicht selten kommt es vor, dass Firmwareupdates vom Hersteller dazu genutzt werden, Tinten und andere Verbrauchsmaterialien von Fremdanbietern auszusperren. So kann nicht ausgeschlossen werden, dass günstige Nachbauten nach einem Update der Druckersoftware nicht mehr funktionieren. Neben Epson und Brother gilt dies auch für Drucker von HP.
Im hier vorliegenden Fall von HP gibt es bislang seitens Druckerchannel jedoch keine Informationen dazu. Insbesondere bei älteren Druckern, bei denen man bisher kein Firmwareupdate durchgeführt hat, ist das Risiko jedoch da, dass nicht-Originalpatronen nicht mehr funktionieren.
