Miljoenen HP LaserJets kwetsbaar voor datadiefstal

Deze nieuwste zwakke plek in bedrijfsnetwerken is ontdekt door onderzoekers aan de Amerikaanse Columbia University. Zij hebben maandenlang onderzoek gedaan naar de kwetsbaarheid van ingebedde systemen, zoals routers maar ook printers. Volgens hun bevindingen zijn wereldwijd miljoenen printers kwetsbaar, waaronder in ieder geval de veelgebruikte LaserJet-machines van HP.

‘Niet wijdverspreid’

HP moet deze ontdekking zelf nog onderzoeken, maar ontkent al wel dat dit een wijdverspreid probleem is, meldt MSNBC. Technologiedirecteur Keith Moore van HP’s printerdivisie zegt de zaak zeer serieus te nemen, maar dat zijn eerste vooronderzoek erop wijst dat misbruik van deze kwetsbaarheid in de praktijk onwaarschijnlijk is.

“Het is lastig hier commentaar op te geven totdat we de security-kwestie hebben geverifieerd”, verklaart Moore tegen MSNBC. Hij stelt dat HP nog niet kan zeggen welke modellen printers mogelijk kwetsbaar zijn. HP heeft sinds 1984 wereldwijd 100 miljoen LaserJets verkocht. Het verkoopt volgens onderzoeksbureau IDC jaarlijks 50 miljoen printers, inclusief zijn InkJet-modellen.

Blind updaten

Professor Salvatore Stolfo en onderzoeker Ang Cui van de Columbia University spreken de sussende woorden van HP tegen. Zij stellen dat het gaat om een fundamentele fout die tientallen miljoenen printers in zich hebben. De oorzaak voor deze kwetsbaarheid zit in het feit dat HP’s printers automatisch zoeken naar nieuwe firmware voor zichzelf en daarbij niet controleren waar die vandaan komt.

Aanvallers kunnen zo’n machine dus voeden met eigen malafide firmware, die vervolgens automatisch wordt geïnstalleerd door het apparaat zelf. Dat proces neemt zo’n 30 seconden in beslag en de malware valt daarna niet te detecteren. Valse firmware kan worden meegestuurd in een af te drukken document vanaf de pc van een eindgebruiker, of via internet als een printer is ingesteld om remote printopdrachten uit te voeren. Een snelle internetscan door de onderzoekers heeft al 40.000 kwetsbare printers opgeleverd.

Printertopman Moore van HP benadrukt dat printers sinds 2009 wel controleren of een firmware-update afkomstig is van de fabrikant. De geteste modellen zouden dus oudere printers zijn. De onderzoekers pareren dat met de melding dat één van hun gehackte printers onlangs is gekocht bij een grote winkel voor kantoorbenodigdheden in New York.

Volautomatische datadiefstal

De kwetsbaarheid maakt het volgens Stolfo en Cui mogelijk om gegevens te onderscheppen. Elke afdruk en elke kopie op zo’n apparaat kan worden afgetapt, waarschuwt security-onderzoeker Mikko Hypponen van beveiligingsleverancier F-Secure in een tweet. De gebruiker krijgt gewoon zijn of haar printje of kopietje, maar de cybercrimineel ook.

De wetenschappers hebben al een geautomatiseerde demonstratie gegeven van deze informatieonderschepping. Een afgedrukte belastingaangifte werd daarbij door de gehackte printer doorgezonden naar een eigen computer van de hackers. Die pc scant het document op gevoelige informatie zoals burgerservicenummers en geeft die gegevens vervolgens weer door, bijvoorbeeld via Twitter.

Harde schijf

Aanvallers kunnen niet alleen op afstand elk document buitmaken dat op een gegeven moment wordt afgedrukt, maar ook elk document dat recentelijk is afgedrukt en nog in het cachegeheugen van de printer staat. Verder kan een laserprinter worden voorzien van eigen firmware om nieuwe functies uit te voeren, zoals netwerkscans en -aanvallen op andere systemen in het bedrijfsnetwerk. Printers worden normaliter ‘vertrouwd’ door pc’s binnen een netwerk.

Bovendien hebben printers meer opslagcapaciteit dan veel mensen vermoeden. Dat is niet alleen chipgeheugen, maar in sommige modellen zitten harde schijven van vele gigabytes (GB’s). Security-consultant Xavier Ashe van IBM merkt in een tweet op dat hij bij een penetratietest eens een printer heeft ontdekt die via een eigen ftp-server films en porno distribueerde.

Brandstichting

Ook is het mogelijk laserprinters aan te sturen met malafide commando’s om de drukrol (fuser) continu op te warmen totdat er oververhitting optreedt. Die component zorgt er normaal gesproken voor dat het papier wordt verhit waardoor de inktelementen in de toner erop kunnen smelten in de gewenste patronen voor de afdruk.

Door continue opwarming kan het papier dusdanig worden verhit dat het bruin wordt en gaat roken. In een demonstratie hebben de ontdekkers geen brand weten te stichten omdat een ingebouwde temperatuurmeter de demonstratieprinter automatisch heeft uitgeschakeld. Toch claimen de wetenschappers dat brandstichting mogelijk is, afhankelijk van het model printer.

Relevante whitepapers

• Begrijp de risico’s van cybercrimeDownloaden Security-acties: leer motivatie en methodes van cybercrimineel begrijpen
• Verscherp de beveiliging van dataDownloaden Combinatie van bescherming en opsporing en security controls met meerdere lagen