Zwei Lecks bei Geräten verschiedener Hersteller werden aktuell aktiv von Cyberkriminellen anvisiert. Sicherheitslücken in Druckern machen schnelles Handeln notwendig – Nutzer sollten ihre Geräte umgehend absichern.
Rund 750 netzwerkfähige Drucker verschiedener Hersteller sind akut von Schwachstellen betroffen, die von Angreifern auch bereits ausgenutzt wurden. Die Sicherheitslecks mit den Datenbankeinträgen CVE-2024-51977 (mittelschwer) und CVE-2024-51978 (kritisch) wurden bereits Ende Juni öffentlich bekannt. Sie betreffen eine Vielzahl von Multifunktionsdruckern, Scannern und Etikettendruckern namhafter Hersteller wie Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta.
Das Open-Source-Sicherheitsteam von Crowdsec hat dokumentiert, dass gezielte Angriffe auf diese Schwachstellen stattfinden. Die Daten stammen aus dem eigenen Intrusion-Prevention-System, das Angriffe analysiert und entsprechende IP-Adressen blockiert. Laut den Analysen läuft seit dem 9. Juli eine breitangelegte Scan-Kampagne, um verwundbare Geräte im Netz aufzuspüren.
So funktionieren die Angriffe
Die erste Schwachstelle, CVE-2024-51977, erlaubt es Angreifern, ohne Authentifizierung gerätespezifische Informationen wie die Seriennummer eines Druckers auszulesen. Diese Information ist der Schlüssel für die weitaus gefährlichere Lücke CVE-2024-51978. Dieser ermöglicht es, aus der Seriennummer das Standard-Administratorpasswort abzuleiten, sofern dieses nicht manuell geändert wurde. Angreifer können sich so vollständigen Zugriff auf das Gerät verschaffen.
Im schlimmsten Fall lassen sich die kompromittierten Drucker in ein Botnetz einbinden, um etwa DDoS-Angriffe durchzuführen oder weitere Systeme im internen Netzwerk anzugreifen.
Betroffene Geräte
689 Modelle von Brother, 46 Modelle von Fujifilm, sechs von Konica Minolta, fünf Modelle von Ricoh sowie zwei von Toshiba gehören laut Rapid7 und Crowdsec zu den aktuell bekannten verwundbaren Geräten.
Die vollständige Liste der betroffenen Geräte ist in den offiziellen CVE-Einträgen und Sicherheitshinweisen der Hersteller zu finden.
Und jetzt?
Wer eines der betroffenen Geräte nutzt, sollte schnellstmöglich handeln und geeignete Maßnahmen ergreifen, um einem möglichen Angriff zuvorzukommen. Im Zusammenhang mit den Sicherheitslücken in Druckern ist es zunächst wichtig, die von den Herstellern bereitgestellten Firmware-Updates zu installieren. Diese Updates schließen die Sicherheitslücken und sind auf den jeweiligen Supportseiten der Hersteller verfügbar.
Ebenso entscheidend ist die manuelle Änderung des Standardpassworts für den Administratorzugang. Nur durch diesen Schritt lässt sich die besonders kritische Schwachstelle CVE-2024-51978 wirksam schließen. Solange das ursprüngliche Passwort unverändert bleibt, können Angreifer es weiterhin anhand der Seriennummer leicht berechnen und sich vollen Zugriff auf das Gerät verschaffen bzw. den Zugriff aufrechterhalten.
Darüber hinaus sollte der Netzwerkzugriff auf das Gerät eingeschränkt werden. Drucker und ähnliche Geräte sollten nach Möglichkeit ausschließlich über interne, abgesicherte Netzwerke erreichbar sein. Offene oder ungeschützte Zugänge, insbesondere aus dem Internet, erhöhen das Risiko eines Angriffs erheblich und sollten konsequent vermieden werden.