Neue Studie zeigt: Nahezu 80.000 Drucker pro Tag sind potenziellen Cyberangriffen ausgesetzt

Durchschnittlich 80.000 Drucker pro Tag sind über das IPP (Internet Printing Protocol) potenziellen Cyberangriffen ausgesetzt. Zu diesem Ergebnis kommt eine neue Studie der Shadowserver Foundation.

Die gemeinnützige Organisation ist seit Juli 2019 am von der Connecting Europe Facility finanzierten Projekt VARIoT (Vulnerability and Attack Repository for IoT) beteiligt und ist dabei seine „internetweiten täglichen Port-Scan-Kapazitäten“ mit neuen Diensten auszuweiten, die sicherheitsrelevante, praxistaugliche Informationen zu IoT-Geräten bereitstellen.

Am 5. Juni begann das Unternehmen den offiziellen Scan „aller 4 Milliarden routingfähigen IPv4-Adressen öffentlich zugänglicher, auf Port 1883/TCP aktivierter MQTT (Message Queuing Telemetry Transport) Broker-Dienste“. Dabei traten einige schockierende Sicherheitslücken zutage, durch die mehrere Zehntausend Drucker potenziellen Angriffen ausgesetzt sind, durch die Daten abgegriffen und Geschäftsprozesse gestört werden könnten und sogar Code aus der Ferne ausgeführt werden könnte.

„Ziel des MQTT-Scans ist, nicht nur im IPv4-Internet anfällige MQTT-Broker zu finden, sondern vor allem MQTT-Instanzen, für die keine Authentifizierung eingerichtet ist – wodurch der Broker anonym von jedermann genutzt werden kann“, so die Experten der Shadowserver Foundation. „Das bedeutet, dass MQTT-Nachrichten mitgelesen werden und sogar von Angreifern erstellt und verschickt werden können. Und da der MQTT-Dienst am Port 1883/TCP keine Verschlüsselung aufweist, kann es selbst bei passwortgeschützten Instanzen zu Datenpannen kommen, wenn Angreifer den Netzwerkdatenverkehr beobachten.“

Die Länder mit den meisten anfälligen IPP-Diensten waren Südkorea (36.000), die USA (7.900), Taiwan (6.700) und Frankreich (2.800). Zu allem Übel offenbarte der Scan auch noch, dass ein großer Prozentsatz der anfälligen Dienste weitere Druckerinformationen übermittelte, darunter den Namen des Druckers, den Standort, das Modell, die Firmware-Version, die Firmenabteilung und die WLAN-SSID.

„Derart anfällige Drucker mit öffentlich und anonym abfragbaren Herstellernamen, Modellbezeichnungen und Firmwareversionen machen es Angreifern natürlich deutlich leichter, Netzwerke mit weiteren für bestimmte Arten von Angriffen anfälligen Geräten ausfindig zu machen und ins Visier zu nehmen“, warnt die Organisation. „In den allermeisten Fällen müssen die betroffenen Drucker wahrscheinlich gar nicht übers Internet für jedermann erreichbar sein – die Geräte sollten hinter einer Firewall stehen und/oder über einen Authentifizierungsmechanismus verfügen.“

Die Analyse des Scans vom 7. Juli enthielt 21.875 Einträge mit Herstellernamen und Modellbezeichnung der Drucker.  Die großen Druckermarken Samsung und HP tauchen dabei mit Abstand am häufigsten auf.

Das Projekt VARIoT hat einige Tipps veröffentlicht, mit denen Unternehmen den Schutz ihrer Geräte verbessern können, indem sie z. B. Authentifizierung der Clients erfordern, Firewalls aktivieren und den Broker auf dem SSL/TSL-fähigen Dienst auf Port 8883/TCP aktivieren.