Drucker anschließen, loslegen - und Angreifern alle Türen öffnen

Internet, Netzwerk, Kabel, Ethernet Bildquelle: DeclanTM / Flickr
Es ist auch heute nicht unbedingt notwendig bei den euen IoT-Geräten nach Schwachstellen zu suchen, die aus der Nachlässigkeit der Entwickler entstehen. Fündig wird man durchaus auch bei etablierten IT-Produkten wie Druckern. Aktuell steht der Hersteller Brother in der Kritik.
Der Sicherheitsforscher Ankit Anubhav vom Unternehmen NewSky Security hat online eine ganze Reihe von Geräten gefunden, die ziemlich einfach komplett von Außen zugänglich sind. Aus dem Netz heraus ist es möglich, direkt auf die Administrationsoberfläche zuzugreifen und beispielsweise erst einmal ein eigenes Passwort einzustellen. Das sorgt im ersten Schritt dafür, dass keiner der berechtigten Nutzer mehr einfach etwas an der Konfiguration ändern kann, wenn der Drucker im eigenen Netzwerk sich komisch verhält.

Wenn man die URLs kennt, mit denen man auf die Admin-Oberfläche kommt, lassen sich so diverse Funktionen ansteuern. Das kann im schlimmsten Fall eben so weit gehen, dass ein Angreifer das Gerät komplett übernimmt. Und da im Inneren ein eigener Computer läuft, kann der Printer dann entweder als Bestandteil eines Botnetzes oder als Sprungbrett in andere Bereiche eines Firmennetzes genutzt werden.


Admin-Passwort? Fehlanzeige!

Das Kernproblem liegt ganz simpel darin, dass die Drucker ohne ein hinreichend sicheres Admin-Passwort an den Kunden ausgeliefert werden. Das erlaubt es den Nutzern überhaupt erst, die inzwischen hochgezüchteten Systeme weiterhin so zu verwenden, wie frühere einfache Peripherie-Systeme. Man steckt weiterhin einfach das Kabel in den Drucker, er gibt daraufhin bedrucktes Papier und damit muss man sich vermeintlich um nichts mehr kümmern. Dass gerade ein neuer Rechner mit frei zugänglichem System in das eigene Netzwerk eingebunden wurde - daran denkt kaum jemand.

Anubhav konnte mit kurzen Anfragen bei einschlägigen Suchmaschinen wie Shodan hunderte Brother-Drucker finden, die frei aus dem Internet zugänglich sind. Betroffen sind dabei Modelle über verschiedene Serien hinweg. Der Sicherheitsforscher verbrachte dann einige Zeit damit, die betroffenen Nutzer über die Probleme zu informieren - letztlich hilft es aber nur, wenn auch bei den Herstellern von solchen Geräten endlich ein Bewusstsein dafür entsteht, dass die Bequemlichkeit der Nutzer nicht das einzige Verkaufsargument sein kann. Internet, Netzwerk, Kabel, Ethernet Internet, Netzwerk, Kabel, Ethernet DeclanTM / Flickr
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 12:29 Uhr Armband Telefon Uhr,TKSTAR Armbanduhr Bluetooth Smart uhr 1.56' TFT LCD Touch Screen Smart Watch mit 1.54 Zoll Display / SIM Kartenslot / Schrittz?hler / Schlafanalyse / SMS Facebook Vibration für Android Smartphone DZ09Armband Telefon Uhr,TKSTAR Armbanduhr Bluetooth Smart uhr 1.56' TFT LCD Touch Screen Smart Watch mit 1.54 Zoll Display / SIM Kartenslot / Schrittz?hler / Schlafanalyse / SMS Facebook Vibration für Android Smartphone DZ09
Original Amazon-Preis
18,88
Im Preisvergleich ab
?
Blitzangebot-Preis
12,32
Ersparnis zu Amazon 35% oder 6,56
Im WinFuture Preisvergleich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden