Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 39, views: 30.722 •
Submitter: bbc

Bepaalde printers van Samsung, evenals door Samsung gemaakte Dell-printers, beschikken over een verborgen admin-account dat kan worden misbruikt om toegang tot het apparaat te krijgen. Daarvoor waarschuwt de Amerikaanse overheid. De logingegevens zijn niet aan te passen.

Uit de waarschuwing van het Amerikaanse overheidsinstituut voor ict-beveiliging, US-CERT, blijkt niet welke modellen printers precies kwetsbaar zouden zijn. Duidelijk is wel dat het gaat om printers van Samsung en bepaalde printers die onder de Dell-merknaam worden verkocht, maar in werkelijkheid door Samsung zijn geproduceerd. Volgens Samsung zijn printers die na 31 oktober 2012 zijn uitgekomen niet kwetsbaar.

Het kwetsbare admin-account, waarvan de logingegevens vaststaan en dus niet te wijzigen zijn, is te benaderen via het snmp-protocol. Dat protocol is bedoeld om over een netwerk statistieken van apparaten te kunnen uitlezen. Het admin-account heeft volledige lees- en schrijfrechten, en is opmerkelijk genoeg ook te benaderen als snmp in de instellingen is uitgeschakeld. Het account stelt aanvallers in staat om gevoelige gegevens uit te lezen, zoals wachtwoorden en 'informatie' die naar de printer worden verstuurd. Het is onduidelijk of printopdrachten kunnen worden uitgelezen.

Hoewel de Amerikaanse overheid het beveiligingsprobleem een 'backdoor' noemt, lijkt het om een fout te gaan: Samsung belooft met een softwarepatch te komen om het probleem op te lossen. Daarnaast zou het beveiligingsprobleem afgevangen kunnen worden door udp-port 1118 te blokkeren.

Reacties (39)

In de 'National Vulnerability Database' zet het weg als een expoit;
The Samsung printer firmware before 20121031 has a hardcoded read-write SNMP community, which makes it easier for remote attackers to obtain administrative access via an SNMP request.
Wat zegt het ... ?

[Reactie gewijzigd door himlims_ op 28 november 2012 18:30]

Als het idd een geval van een hardcoded-snmp write community is lijkt me dat met een firmware update wel te fixen zodat dit default read-only is, of nog beter, door de gebruiker zelf optioneel te activeren en wijzigen is.

Alleen vind ik het advies voor het blokkeren van udp poort 1118 wat wazig, snmp = poort 161.
Ik zie even niet de link met een snmp-trap die de printer zou kunnen sturen.
Informatie welke printers kunnen versturen is dezelfde informatie welke je op een eventueel display van de printer kunt lezen. Denk hierbij aan inkt/toner laag, geen papier meer in tray x.

Als je veel printers moet beheren kun je natuurlijk zelf wel continue een snmp requests doen naar elke printer voor toner niveau en of er nog papier is, maar snmp-traps zorgen ervoor dat je niet langer zelf hoeft te pollen, maar een snmp push notificatie krijgt bij een bepaalde gebeurtenis.

Wel raar dat US-CERT niet de lijst van vulnerable printers bekend maakt. Printer firmwares moeten handmatig ge´nstalleerd worden. Samsung komt later (over enkele weken) met een patch. Alsof iedereen welke nu een Samsung printer met netwerk functionaliteit in zijn agenda zet om over 6 weken eens te controleren of er toevallig een update voor jouw printer is..

Daarnaast zou het ook kunnen zijn dat de Samsung configuratie tool snmp-write gebruikt om instellingen te wijzigen.. hoewel de vrijwel alle printers met netwerk functionaliteit ook een web interface hebben. Nu zal Samsung niet veel consumenten printers hebben met netwerk functionalteit, consumenten printers hebben over het algemeen een USB aansluiting. Het zal dus vrijwel om printers voor de zakelijk markt gaan. Als de printer een eigen authenticatie lijst bijhoud en deze lijst via snmp toegankelijk is (er zijn routers welke wachtwoorden via snmp vrijgeven, dus waarom niet een printer) bestaat er de mogelijkheid dat datzelfde wachtwoord ook bij andere devices of printers wordt gebruikt..
Allemaal leuk en aardig, maar wie heeft er ooit zijn printerfirmware bijgewerkt? Je krijgt tegenwoordig toch een printer bij je cartridges?
Bedrijven doen dit doorgaans veel meer. Een thuisgebruiker is natuurlijk ook veel minder interessant om te 'hacken'

Bovendien moet je ook op het lokale netwerk zitten. Dus via internet is mijn printertje niet uit te lezen

hier nog een leuke link (met het wachtwoord):
http://l8security.com/pos...ung-printer-snmp-backdoor

[Reactie gewijzigd door BasieP op 28 november 2012 18:51]

Nadat de tv er een wilde, moest je de koelkast eens horen mopperen.. :D
Allemaal leuk en aardig, maar wie heeft er ooit zijn printerfirmware bijgewerkt? Je krijgt tegenwoordig toch een printer bij je cartridges?
Ik, want ik werd het een beetje zat om continue nieuwe patronen te kopen (mijn vriendin heeft kantoor aan huis en print behoorlijk veel voor haar werk), en heb dus een laserprinter gekocht. Nu hoef ik nog maar eens per 3 maanden een nieuwe toner te bestellen als het om zwart gaat, en kleuren toners eens per jaar of 2.

En in scherp contrast tot inktpatronen droogt toner niet uit, en is het ook na de vakantie nog uitstekend te gebruiken. :-)
Nou ja, ik gebruik mijn inkjet misschien een paar keer per jaar, die inktpatronen zijn prima hoor... Zo snel drogen die bij mij in ieder geval niet uit.
Maar goed, het lijkt me nogal logisch dat het hier niet om die printers gaat die je bij een pakje boter krijgt, maar het wat duurdere segment.
Je hebt een goed werkende printer en gaat dan de firmware erop aanpassen omdat er een nieuwe firmeware is.???

Waarom ga je een goed werkend apparaat van nieuwe software voorzien met de kans dat hij daarna niet meer goed werkt.?

Mensen die firmeware aanpassen omdat er een nieuwe versie is die heb ik toch al nooit begrepen. Als iets werkt en goed werkt waarom zou je het dan aanpassen met alle gevolgen van dien.
Dit is zo'n ouderwetse opvatting. Er zit een semi-serieus veiligheidslek in een X aantal printers. Dan ga je toch je firmware upgraden als je het risico te groot vindt?

Tegenwoordig gaat ICT verder dan 'het moet maar gewoon werken'.
Hoezo ouderwets, dus oud is gelijk onveilig ect, vroeger dacht men zelf nog na in tegenstelling van vandaag de dag.
Als de printer een serieus veiligheidslek is in je organisatie dan behoord deze printer niet aan het netwerk te hangen, maar ouderwets aan het systeem zelf, en dit netwerk dient niet aan het web te hangen ect.

Veligheid gaat verder dan een simpel firmware vernieuwing.

In de jaren 90 kwam de overheid met een programma om woningen beter te beveiligen tegen inbraak. Daar werden mensen voor opgeleid (ik ken er zoeen) die gingen informeren wat men kon doen ect ect, voorbeelden zijn zwaar hang en sluitwerk, pinnen in kozijn, glaslatten aan de binnenzijde zodat het glas er niet uitgehaald kon worden en wat zoal niet meer.
Tot er een inbreker bijkwam die liet zien dat al deze maatregelen totaal geen nut hadden, hij pakte eene steen, gooide deze door de ruit en ging naar binnen. Eind jaren 90 is dan ook dit project stopgezet. 3x raden waarom.

Nog verder terug is er ook een voorbeeld, dat we nu alles "weten" en computers en zo en dat is alle slimmer dan men vroeger was. Vroeger was men dom in de ogen van vandaag de dag. Kijk dan eens op deze site en verklaar dan eens dat we anno 2012/2013 nog steeds niet in staat zijn om een code bericht uit de 2e wereld oorlog te kunnen ontcijferen.

Wellicht dat het komt omdat de mensen hierachter zelf nadachten en zich niet lieten beinvloeden van buitenaf (het www en een rooster voor het glas)

Veiligheid laat je niet afhangen door een firmwareupdate maar doe je door zelf na te denken of iets wel gekoppeld mag worden aan een netwerk wat benaderbaar is.

Geen idee hoe oud je bent maar er zal een dag komen dat je gaat denken "opa had nog wel zoveel gelijk vroeger" als je tegen een vraagstuk aanloopt. Dan zie je pas in wat er toen (nu dus) gaande was. Maar dat willen we niet inzien want opa is een ouwe zeur, maar achteraf had die ouwe wel gelijk.
@webcamjan
Je praat inderdaad als een 'zure' opa. Tegenwoordig hangt alles aan het netwerk/internet en binnenkort ook nog alle apparaten, die er nu nog niet aanhangen. Een firmware update, die een beveiligingslek verhelpt kun je dus maar beter WEL installeren ook al werkt het apparaat op dit moment prima, want een hacker zorgt er wel voor dat dat morgen misschien niet meer zo is. Jouw adagium 'don't fix if it ain't broke' gaat dan ook niet meer op heden ten dage en is inderdaad uit 'de oude doos' !
Of ik zo klink laat ik aan jou, dat maakt me verder niet uit omdat het jou mening is.
Maar zoals je zegt alles hangt aan internet en wat nog niet straks ook. Maar is nu nog nooit de gedachte bij je opgekomen of het wel zo nodig is om dat allemaal daaraan te gaan hangen.?

Vroeger dwz in begin 90'r jaren programeerde ik machine ontwerpen. Plc en automatiseren was poe poe..
Waarom hangt een kerncentrale aan het internet zodat stuxnet erop kon komen, waarom moeten die plc's zo hoognodig van de andere kant van de wereld geprogrameerd worden.? Tijd is geld zal men zeggen, dus veiligheid ging het niet om maar het ging om geld, dan moet je nu niet gaan zeuren dat het inbraak gevoellig is, dat kon je simpel voorkomen door lokaal te programeren zoals me dat vroeger geleerd is.

Waarom altijd die blindeer kleppen op en er als vanzelfsprekend er van uitgaan dat het allemaal wel goedkomt of gaat.
Een virusscanner houd geen virus tegen wat nieuw is en toch geloven we erin, denk er maar over na, waarom dan zoveel vertrouwen in die scanner.?
9 jaar geleden zette ik een pc in elkaar, ding staat nu in het archief met dezelfde na 7.5 jaar gebruik windows erop, loopt als een trein niks mis mee. En als er iemand op bezoek kwam en even wat wilde nakijken op inet dan kreeg men te horen je neemt dat (een ander) systeem ervoor, niet deze. Omdat die pc een taak had en die taak was niet internet bezoeken.

Mensen leggen ietwat teveel vertrouwen in machines en hun kunnen, en als het fout gaat dan roepen ze hooguit maar wat doen is er nog steeds niet bij.
Gelukkig ben ik al 10 vrij van virussen en zooi op meerdere systemen en serrvers. Door duidelijke regelgeving en gebruik.
Maar is nu nog nooit de gedachte bij je opgekomen of het wel zo nodig is om dat allemaal daaraan te gaan hangen.?
Je koopt een netwerk printer meestal om hem aan het netwerk te hangen. Toevallig draait alles op tcp/ip en is de kans groot dat het ook aan het net hangt.
Waarom hangt een kerncentrale aan het internet zodat stuxnet erop kon komen, waarom moeten die plc's zo hoognodig van de andere kant van de wereld geprogrameerd worden.? Tijd is geld zal men zeggen, dus veiligheid ging het niet om maar het ging om geld, dan moet je nu niet gaan zeuren dat het inbraak gevoellig is, dat kon je simpel voorkomen door lokaal te programeren zoals me dat vroeger geleerd is.
Die kerncentrale hing niet aan het internet maar werd door een usb stick besmet. Lokaal programmeren is een utopie. Je krijgt niks op een toestel zonder die aan het net te hangen, en stick of een cd erin te steken. Ik zou eerder zeggen dat lokaal programmeren gevaarlijk is. Het feit dat je zegt dat het niet aan het net moet hangen wil niet zeggen dat je geen rekening moet houden met security problemen.

Als je een virus op een printer kan krijgen dan bel je wel binnen, daar draaien geen scanners op. Je moet al met honeypots gaan werken om te kijken waar de aanval vandaan komt. Patchen die handel!
ik denk dat de meeste bazen werken volgens het "max bezuinigen totdat het compleet instort" systeem als het gaat om ICT. preventief ergens geld of moeite insteken is rijkelijk teveel gevraagd.

"if it ain't broke, dont spend any money to keep it unbroken"
Serieus? Met zo'n instelling komen we nergens.
"Ach vierkante wielen werken ook, waarom zou ik proberen om ronde wielen te gebruiken, dadelijk werkt dat niet zo fijn"
"windows 98 werkt ook, waarom zou ik windows 7/8 willen proberen, misschien bevalt dit wel niet... "
In bedrijfsomgevingen zijn printers geen wegwerpproducten zoals dat bij de consumentenproducten wel eens het geval is. het loont voor printeradministrators in veel gevallen wel om firmwares te updaten. Er worden door de fabrikanten voortdurend fouten opgelost en features toegevoegd die best de moeite waard zijn (laatst las ik: prevent fuser overheat in standby condition :D). Bovendien bieden de meeste fabrikanten goede tools aan om op grotere schaal firmware te beheren.
Toevallig gister nog gedaan, printer utilities gaf aan dat er nieuwe firmware was toen de pc opstartte (goedkoop dingetje van Brother)
Security Not My Problem strikes again ....

Maar wat ik niet uit het artikel haal maar wel vermoed is dat hier om netwerk printers gaat, exemplaren met eigen ethernet of wifi.
Zou je denken ja ...
Simple Network Management Protocol (SNMP) is an "Internet-standard protocol for managing devices on IP networks.
bron

[Reactie gewijzigd door dknippers op 28 november 2012 19:00]

anders heeft die printer wellicht weinig aan een netwerkprotocol als snmp ;)
Dus als je een printer hacked kan je bij het slachtoffer bedrijf dingen laten printen :S
Klinkt niet echt als een gevaar en helemaal niet interresant als hacker...

Misschien zou het handig zijn om de gescande documenten te kunnen zien maar een proper bedrijf gebruikt een scanner en/of computer die niet aan het netwerk aangesloten zit voor het scannen, bewerken etc van belangrijke documenten.


Tenminste je kan toch niet via het hacken van de printer de pc in hacken? :?
Iemand zou de printers van een bedrijf kunnen hacken en een document printen wat vervolgens als bewijs in een rechtzaak tegen dat bedrijf gebruikt zou kunnen worden (terwijl het bedrijf in werkelijkheid niks heeft gedaan, maar word beschuldigt door X, misschien wel een concurrent).

Misschien is dit een beetje vergezocht, maar toch. Een printer van een bepaald bedrijf dingen laten printen kan in sommige gevallen wel nut hebben, als is het maar om het bedrijf op kosten te jagen...

offtopic:
Ik dacht dat ik laatst in een computer magazine las dat Samsung printers eigenlijk Kodak hardware en software gebruikte. Waarom zou Samsung dan de printers voor Dell fabriceren? Of misschien werden alleen de laserprinters van Samsung door Kodak gemaakt?
Een wilde gok: ik associeer Kodak met fotografie, misschien dat Kodak het scandeel en de toner doet/ontwerpt?
Samsung's nieuwe inkjet-, dus juist niet laser-, printers gebruiken techniek van Kodak, dat betekend overigens niet dat die printers volledig door Kodak zijn gefabriceerd.

Bron.

Kodak maakt geen laserprinters meer.

[Reactie gewijzigd door i8086 op 29 november 2012 07:39]

Dus als je een printer hacked kan je bij het slachtoffer bedrijf dingen laten printen :S
Klinkt niet echt als een gevaar en helemaal niet interresant als hacker...

Misschien zou het handig zijn om de gescande documenten te kunnen zien maar een proper bedrijf gebruikt een scanner en/of computer die niet aan het netwerk aangesloten zit voor het scannen, bewerken etc van belangrijke documenten.


Tenminste je kan toch niet via het hacken van de printer de pc in hacken? :?
Zou je denken, maar met de integratie van de functie's ( scannen, kopieren en fax verwerking ) gaat vrijwel elk bedrijf voor de minimale kosten.
Dus als zo'n mega bakbeest OOK kan scannen, dan wordt dat gewoon gebruikt.
Misschien dat megalomane bedrijven alles apart hebben gezet, maar ik denk dat 99% van deze 'kwetsbaarheden' in allerlei lagen van bedrijfsvoering zijn ingeburgerd tegenwoordig

En juist de info "IN" dat apparaat kan worden uitgelezen, en niet alleen bij Samsung, ook HP en Kyocera hebben SNMP protocollen ingebouwd.

Kleine stap om dan het geheugendeel uit te (laten) lezen, en remote eruit te pikken.
Ver in de toekomst, dan print de hacker een robot welke hij natuurlijk zelf kan bedienen met wapens erop geprint :P

Mja van geprinte A4'tjes door een "hacker" zie ik de grap nog wel van in maar kan natuurlijk wel vervelend worden als hij 1000 print opdrachten naar dat ding stuurt en je papier elke dag op is..
Met het SNMP protocol kun je alleen status readback doen of beperkt instellingen wijzigen zoals protocollen aan / uit zetten.

Het dichtste wat je tot vertrouwelijke informatie zou kunnen komen zijn de opdrachtnamen van de 5 of 10 laatst geprinte opdrachten.

Je kunt geen adresboeken / printopdrachten ophalen via SNMP

Natuurlijk moet de machine ook voor je bereikbaar zijn, en aangezien de meeste mensen/bedrijven de printer niet in de DMZ zetten of port forwarding instellen kun je er alleen maar bij als je al op het interne netwerk geraakt bent.

Veel meer als trollen zoals het displaytaal veranderen of IPV4 uitzetten zal je niet komen via SNMP, misschien is het mogelijk om het Default wachtwoord van de ingebouwde Webserver te veranderen en zo toegang tot de rest van meer gevoelige informatie te geraken.
Meestal zal het wachtwoord van deze pagina toch al niet gewijzigd zijn en kun je wat moeite besparen.
Ik ken ook genoeg (oudere) printers van HP die zo'n exploit bevatten. Echter valt de username/password wel te veranderen in het configuratiemenu op de printer zelf.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013