Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Onderzoekers van de Columbia University stellen dat hackers op eenvoudige wijze, ongemerkt de firmware van LaserJet-printers van HP kunnen updaten. HP, dat de zaak onderzoekt, ontkent vooralsnog dat het om een grootschalig probleem gaat.

Volgens de onderzoekers controleren LaserJet-printers die voor 2009 op de markt kwamen niet of een firmware-update voorzien is van een digitale handtekening. Omdat dergelijke printers vaak via ethernet aan een bedrijfsnetwerk zijn gekoppeld, kan de LaserJet-firmware worden geüpdatet via printopdrachten die gestart worden op Linux- en Mac-computers. Hierbij controleert de software van de printer niet of het firmwarebestand is voorzien van een handtekening om de echtheid te garanderen.

Het gebrek aan controle bij het firmware-updateproces, dat slechts 30 seconden duurt, zou grote veiligheidsrisico's opleveren, stellen de onderzoekers. Zo stuurden zij een opdracht naar een LaserJet-printer om een belastingformulier te printen. De printer, die van gemanipuleerde firmware was voorzien, stuurde het document door naar een andere computer. Deze scande het document en wist uit het formulier een social security-nummer te destilleren. Dit werd vervolgens op een Twitter-account gepubliceerd.

Kwaadwillenden zouden HP-LaserJets ook kunnen saboteren door de fuser, die gebruikt wordt om de inkt op het papier te drogen, continu te laten opwarmen, waardoor de printer in brand kan vliegen. In de praktijk konden de onderzoekers de LaserJet echter niet laten ontbranden, omdat een beveiligingssysteem tegen oververhitting de printer uitschakelde.

HP, dat samen met de onderzoekers het probleem zou onderzoeken, stelt in een reactie dat er geen risico is dat oudere LaserJet-modellen in brand vliegen door gesaboteerde firmware, omdat het beveiligingssysteem tegen oververhitting onafhankelijk van de firmware werkt en op elke laserprinter van het merk aanwezig is. Ook stelt de printerfabrikant dat de meeste kwetsbare LaserJets bij bedrijven achter een firewall staan, waardoor het gevaar van een aanval vanaf het internet beperkt is, en dat nog niet is bewezen dat gemanipuleerde printopdrachten een printer kunnen herprogrammeren. Bovendien kunnen systeembeheerders de remote-installatiefunctie op de printer uitschakelen.

De onderzoekers stellen echter dat HP het probleem bagatelliseert. Zo zouden zij bij een snelle scan op het internet veertigduizend kwetsbare LaserJets hebben gevonden. Bovendien kan het lastig worden om een effectieve oplossing voor de kwetsbaarheid te vinden. Zo kan een gemanipuleerde firmware-update de deur voor toekomstige updates eenvoudigweg sluiten. Bovendien zou het uiterst lastig zijn om te detecteren of een LaserJet met gemanipuleerde firmware is besmet. Ze stellen zelfs dat bedrijven misschien geen andere keuze hebben dan LaserJets die geen controle op de firmware uitoefenen zo snel mogelijk uit te faseren. Daarnaast sluiten zij niet uit dat printers van andere fabrikanten soortgelijke kwetsbaarheden hebben.

Moderatie-faq Wijzig weergave

Reacties (42)

Kwaadwillenden zouden HP-LaserJets ook kunnen saboteren door de fuser, die gebruikt wordt om de inkt op het papier te drogen, continu te laten opwarmen, waardoor de printer in brand kan vliegen. In de praktijk konden de onderzoekers de LaserJet echter niet laten ontbranden, omdat een beveiligingssysteem tegen oververhitting de printer uitschakelde.
Typisch voorbeeld van: "Laten we ons onderzoek nog populairder maken doeor dingen toe te voegen die supergevaarlijk lijken, maar eigenlijk gewoon niet kunnen gebeuren."

HP doet in mijn ogen in ieder geval niets verkeerd. Een update is verstandig, maar het is geen probleem met hoge prioriteit. Elke systeembeheerder met een goede kennis/ervaring laat niets toe, behalve de uitzonderingen die hij toevoegen. Dat er dan 40000 printers gevonden kunnen worden, betekend dat er 40000 netwerken zijn die slecht beveiligd zijn.
Dus je moet bij je printer ook een 'systeembeheerder met een goede kennis/ervaring die niets toelaat' hebben?

Maar je moet dan ook alle computers in je netwerk onder curatele stellen, en zelfs alle computers waarmee gecommuniceerd wordt. Alle binnenkomende mail, elke usb-stick, elke website die bezocht wordt, moet eerst via die systeembeheerder, dat is compleet onwerkbaar en onrealistisch voor 99% van de bedrijven.
Niet via de systeembeheerder (wie heeft dat beweerd?) moet je die printers onder curatele stellen, maar via de firewall, zoals dat hoort en meestal ook gebeurt.

Dat er 40.000 printers rechtstreeks aan het internet hangen betekent dat er een veelvoud van 40.000 computers in die netwerken hangen, die je waarschijnlijk ook direct van buitenaf aan kunt vallen......
Dat die printers meestal op een LAN hangen 'achter een firewall' is imho des te erger. Op dat zelfde LAN zwerven imers behoorlijk wat toestellen met vertrouwelijke data of kritische applicaties. Ik moet er niet aan denken dat al 'onze' Laserjets plots een dos attack doen of zelfs doodleuk een kopietje versturen van alles wat geprint wordt.
Niet vergeten dat een groot deel van de succesvolle attacks op bedrijfsdata vanop het interne netwerk gelanceerd worden. Ook al omdat er maar bitter weinig bedrijven zijn die een consequente access controle doen op switchpoortjes... eenmaal fysiek binnen ben je bij de meeste bedrijven ook digitaal 'binnen'
Dat doet me denken aan verhalen over vroeger...

de Universiteit Twente had alle computers op de campus verbonden met Campusnet. Het was natuurlijk leuk om van verenigingsleden de printer te zoeken en willekeurige teksten te sturen :-) Dat is nog eens chatten :-)
Die HP printers zijn idd. erg slecht beveiligd. Op de UT kon je ook via wat code op alle printer display een tekstje te zetten:
Zie: http://odetocode.com/humor/68.aspx
of via telnet:
Start Telnet open port 9100, daarna: @PJL RDYMSG DISPLAY="Pas op!".

Oh ja... vraag Telnet om password gebruik dan :"root", "admin", "administrator" of "supervisor".

kijk ook eens op:
http://www.irongeek.com/i...ity/networkprinterhacking

[Reactie gewijzigd door djexplo op 30 november 2011 19:03]

Het is niet dat de printer niet goed te beveiligen valt, het is dat de printer door de admin slecht wordt beveiligd. Standaard staat alles open. HP heeft ook niets voor niets een training speciaal gefocussed op printing & security om bedrijven bewust te maken van de risico's van het niet goed managen van een printer (bijv. via telnet, uitzetten als het niet nodig is).
Een printer is nooit goed te beveiligen want er zit een reset knop op. Dus telnet uitschakelen of een wachtwoord op de printer zetten is beperkt zinvol.
De oplossing moet eerst gezocht worden in netwerk beveiliging, beginnend met een apart VLAN.
Alles waar je met je handjes bij kan is niet goed te beveiligen...
Gelukkig hebben de printers geen resetknop, maar een ieder die een beetje googled vindt de juiste combinatie van verschillende knoppen om resets uit te voeren.
IPSEC werkt trouwens ook uitstekend met de HP printers.
Standaard staat alles open.
Oftewel: brakke beveilinging
Anno 2011 mag toch wel duidelijk zijn dat de beveiliging standaard goed moet zijn?
Kwaadwillenden zouden HP-LaserJets ook kunnen saboteren door de fuser, die gebruikt wordt om de inkt op het papier te drogen, continu te laten opwarmen, waardoor de printer in brand kan vliegen. In de praktijk konden de onderzoekers de LaserJet echter niet laten ontbranden, omdat een beveiligingssysteem tegen oververhitting de printer uitschakelde.

Oké, ze kunnen dus niet wat ze wel kunnen..
De vraag is natuurlijk wanneer de beveiliging faalt en wanneer de situatie zo "ideaal" is dat er ook daadwerkelijk brand ontstaat. Ik vind het idee dat ze de geprinte opdrachten kunnen doorsturen veel gevaarlijker.

[Reactie gewijzigd door Bliz op 30 november 2011 17:26]

Dat kan je ook met ARP Poisoning & Packet Sniffer.
Hoewel het een bijzonder kwalijk issue is dat een printer blijkbaar te updaten is zonder een admin account, lijkt het me een erg slecht idee om printers zomaar aan internet te hangen. Als er onmiddellijk al 40 duizend gevonden kunnen worden vraag ik me ook af hoeveel daarvan er ook met bijvoorbeeld een standaard wachtwoord ingericht zijn.
Met IPv6 komen er nog wel meer rechtstreeks aan het internet te hangen, dan zijn er genoeg adressen om geen NAT meer te hoeven gebruiken.
Misschien zijn er wel heel veel verstandige beheerders die daarom IPv6 nog steeds links laten liggen.
Verstandig omdat NAT niet meer gebruikt wordt? PARDON?

NAT is geen firewall he! Met IPv6 moet er gewoon gewerkt worden met firewalls, net als nu ook al zou moeten gebeuren. Dat het niet gebeurt is duidelijk, anders waren er geen 40.000 printers gevonden die kwetsbaar waren. Het feit dat je geen NAT nodig hebt bij IPv6 is echter een verdomd SLECHTE reden om niet te updaten.
In de praktijk konden de onderzoekers de LaserJet echter niet laten ontbranden, omdat een beveiligingssysteem tegen oververhitting de printer uitschakelde.
Er staat alleen even niet bij dat je de printer daarna niet meer kan inschakelen.
Jah dat waren ze hier vergeten te vermelden. Dus zelfs als de boel niet in de hens vliegt heb je nog steeds een probleem.
Is dat zo? Ik heb in laserprinters ook wel gewoon clixons aangetroffen. Volgens jou zouden er uitsluitend thermische zekeringen inzitten? Helaas weet ik geen modelnummers om specifiek na te zoeken.
Dat is een teken dat ze het niet deftig geprobeerd hebben Zorg eerst voor een paperjam, waarbij het papier vastzit in de over, en laat dan uw oven maar verder opwarmen. Eens zien of hij dan nog niet in de fik vliegt.
nou nou nou wat een exploit! petje af voor de gene die er zo ver is ingedoken
1 het moet een oude printer zijn van minimaal 3 jaar oud
2 dan moet het gedaan worden met een Linux- of Mac-computer. deze systemen zijn vaak erg goed beveiligt en er bestaat relatief weinig virrusen voor.... zeker op een bedrijfs netwerk waar users vaak totaal geen root acces hebben..

Ik zeg zelf het probleem zal zich zeker heel erg vaak voor doen zeker frontpage nieuws :O
een Linux- of Mac-computer. deze systemen zijn vaak erg goed beveiligt en er bestaat relatief weinig virrusen voor
Das niet waar, veel Linux en Mac gebruikers denken vaak veilig te zijn "omdat er toch geen virussen" voor zijn.
En (laser) printers gaan vaak 5 tot 6jaar mee in het bedrijfsleven, dus 3jaar is niet heeeel oud.
Voor de rest ben ik het 100% met je eens, dit "onderzoek" gaat helemaal nergens over.

[Reactie gewijzigd door TMDevil op 30 november 2011 17:41]

Linux en Mac-computers bestaan niet. Je hebt wel x86(_64) PC's en Apple-computers (subset van het 1e type om dat het slechts een merk is). De algemene deler is CUPS, en misschien POSIX compliance, en heel misschien het feit dat ze allebei Unix-achtigen zijn, hoewel Linux voor "Linux is not Unix" staat en XNU (Kernel van Mac OS X a.k.a. de Mac-computer) voor "X is Not Unix" betekent.
<offtopic>
ik had ergens gelezen/gehoord dat sarcasme niet overkomt via internet, omdat de intonatie niet overkomt, maar dat is dus blijkbaar niet waar, hier komt het wel degelijk over

:+
</offtopic>
beetje paniek om een onmogelijke situatie of de beheerder moet er een potje van maken...
de meeste beheerders zijn nou niet bepaald goed in beheren... een gamer die op z'n 15e besluit 'beheerder' te zijn wordt na 2 of 3 jaar snel aangenomen of gedetacheerd en daar begint het probleem al. kennis is meestal een beetje windows-client kennis, heel misschien wat windows-server kennis, meestal totaal geen echte server of tcp/ip kennis.
Als we nu op alle Laserjet printers een BitTorrent-client installeren en via de printers al ons spul gaan downloaden, dan hebben we gelijk het probleem van het downloadverbod opgelost.

Ik wil ze namelijk nog wel eens printers aan zien klagen. ;)
kun je aan het eind van je werk dag meteen de geprinte fullhd versie van 300 mee naar uit nemen :S

en waarom zouden ze je dan niet kunnen aanklagen? of je nu een computer nas of rekenmachine gebruikt om te downloaden maakt niet uit.
Ik kwam onlangs nog een HP Laserjet op het internet. Dat ding stond gewoon wijd open qua config en printerpoorten. Ik ken die software toevallig goed, omdat mijn eigen laserjet exact hetzelfde werkt.

Ik heb toen maar even een printje d'r uit laten komen met een waarschuwing en informatie over hoe ze het konden oplossen. (inclusief mijn emailadres voor als ze hulp nodig hadden).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True