Italiaanse onderzoekers waarschuwen voor alomtegenwoordigheid slecht beveiligde printers

Onderzoekers uit Italië publiceren een paper waarin ze aantonen hoe tienduizenden printers in Europa kwetsbaar zijn voor eenvoudig uit te voeren aanvallen.

Volgens een paper gepubliceerd door twee Italiaanse onderzoekers worden printers veel te weinig beveiligd. De researchers stellen vast dat er in Europa alleen al tienduizenden printers kwetsbaar zijn voor eenvoudige aanvallen. Ze baseren zich daarvoor op queries via Shodan. Die tonen aan dat heel veel toestellen poort 9100 hebben openstaan naar het internet. Die poort wordt doorgaans gebruikt om printopdrachten te ontvangen. In Duitsland gaat het bijvoorbeeld om 12.891 gevallen en in Frankrijk zijn er 6.349 toestellen kwetsbaar.

Printjack

De onvoldoende beveiligde printers zijn kwetsbaar voor drie types van aanvallen die de onderzoekers Printjack noemen. Het valt wel op dat de onderzoekers hier erg speculatief tewerk gaan. Ze stellen vast dat tal van printers kwetsbaarheden bevatten die je kan uitbuiten via poort 9100. Dat laat aanvallers in principe toe om de blootgestelde toestellen te misbruiken voor DDoS-aanvallen.

In totaal zien de onderzoekers 223 verschillende bestaande kwetsbaarheden. Hoeveel van de blootgestelde toestellen effectief dergelijke kwetsbaarheden bevatten, is onduidelijk. De researchers gaan ervan uit dat een deel van de tienduizenden printers wel vatbaar zal zijn voor één van de bestaande bugs en dat is aannemelijk, maar effectief testen doen ze niet.

lees ook

PrintNightmare krijgt vervolg met nieuwe zero day in Print Spooler

Een tweede type Printjack-aanval misbruikt de blootgestelde poort 9100 via een eenvoudig Python-script dat printopdrachten blijft sturen naar een toestel. Dat zit zo al snel zonder inkt of papier, zodat printwerk in een onderneming wordt verstoord. De onderzoekers testten hun aanval succesvol op een lokaal netwerk en gaan ervan uit dat een aanval op de poort 9100 bereikbaar via het internet eenvoudig is, opnieuw zonder die veronderstelling te concluderen.

Een derde risico tot slot is een Man in the Middle-aanval. Daarbij onderschept een hacker op een lokaal netwerk printopdrachten naar onbeveiligde toestellen en kan hij of zij de data lezen. Voor dit type aanval is lokale netwerktoegang noodzakelijk.

Korrel zout

De bevindingen van de paper klinken dramatisch en krijgen internationaal aandacht, onder andere via Bleepingcomputer. Toch roepen toch heel wat vragen op. De onderzoekers gaan uit van slecht beveiligde printers binnen bedrijven maar het is onduidelijk welke toestellen er precies achter de blootgestelde poorten schuilen. Het onderzoek gaat uit van een consequent ontoereikende beveiliging in een bedrijfscontext, maar bevat geen tests om dat te staven.

Tal van moderne zakelijke printers aanvaarden niet zomaar printopdrachten maar vereisen authenticatie en werken met encryptie. Printjack-aanvallen zouden niet werken op dergelijke toestellen, zelfs wanneer poorten slecht zijn afgeschermd.

Het is wel een slecht idee is om een printer zomaar bloot te stellen aan het internet met poort 9100. Dat zet de deur op een kier voor eenvoudig misbruik, zoals de paper aantoont. Printers moeten net als andere toestellen in het bedrijfsnetwerk beveiligd worden. Wie vandaag een professioneel toestel aankoopt bij een fabrikant, krijgt echter toegang tot de nodige beveiligingsopties. Als administrator moet je die natuurlijk wel toepassen.

De paper maakt stevige claims over de ernst van Printjack-aanvallen die in onze ogen onvoldoende gestaafd worden door concrete tests. De paper zelf werd gepubliceerd op het ArXiv-platform en kreeg nog geen peer review. Enkele korrels zout zijn dus niet misplaatst.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home