Wo bleibt unser Patch-Manager?

Wie COVID-19 hunderttausende Drucker angreifbar machte

Das SEC Consult Vulnerability Lab hat Ende 2019 in den Touchscreen Terminals von zahlreichen bizhub MFP Druckern des Herstellers Konica Minolta kritische Schwachstellen identifiziert. Diese erlaubten es einem Angreifer mit physischem Zugriff Vollzugriff mit höchsten Rechten (root) auf das Betriebs- und Dateisystem des Druckers zu erhalten. Dieser Angriffsvektor kann auf vielfältige und kreative Art und Weise verwendet werden, um das System als solches als auch deren Benutzer zu kompromittieren und Daten zu stehlen.

Der Hersteller Konica Minolta hat vorbildlich reagiert und innerhalb kürzester Zeit einen Patch zur Verfügung gestellt und SEC Consult permanent mit Updates zum aktuellen Patchstand versorgt. Aufgrund der sehr großen Anzahl an verwundbaren Geräten (Konica Minolta ging 2020 von hunderttausenden verwundbaren Geräten aus) und der Tatsache, dass eine zentrale Patch Management Lösung seitens Konica Minolta nicht vollständig ausgerollt ist, mussten die meisten Drucker manuell durch einen Servicetechniker vor Ort gepatcht werden. Daher dauerte der Responsible Disclosure Prozess mehrere Jahre, im Gegensatz zu sonst üblichen Tagen bis Wochen. Dies war zum Teil auch der COVID-19 Pandemie und mehreren Lockdowns in unterschiedlichen Ländern geschuldet.

Mehr Informationen zur Timeline sowie technische Details und Exploit-Szenarien, wie ein Angreifer Daten eines Unternehmens stehlen kann, können in unserem englischen Blogpost nachgelesen werden. Des Weiteren wurde ein technisches Security Advisory veröffentlicht, das die betroffenen Geräte und Firmwareversionen enthält.

Generell zeigt die Aufdeckung dieser kritischen Schwachstellen und die gravierenden Mängel im manuellen Patch-Prozess bzw. der Firmwareupdate-Architektur, dass Hersteller unbedingt bereits bei der Entwicklung von Software die IT-Sicherheit proaktiv berücksichtigen müssen. Eine nachträgliche Behebung von Sicherheitsmängeln kann Hersteller-seitig zu sehr hohen Kosten führen. Insbesondere, wie in diesem Beispiel ersichtlich, wenn etwaige Patches nicht automatisiert eingespielt werden können, sondern dies von Fachkräften manuell vor Ort durchgeführt werden muss. Auf Kundenseite führt diese mangelhafte Architektur zu einem anderen Problem. Die betroffenen Geräte bleiben über einen sehr langen Zeitraum hinweg ungepatcht und auf die Sicherheitslücken anfällig.

SEC Consult unterstützt Hersteller bereits von Beginn an bei der Entwicklung sicherer Software oder bei der Aufdeckung von etwaigen Sicherheitslücken bei Penetrationstests oder IT Infrastruktur-Sicherheitsüberprüfungen. Zusätzlich unterstützen unsere Experten beim Aufbau eines Informationssicherheitsmanagementsystems, um spätere (Patch-)Kosten zu minimieren.

 

Dieser Research wurde von Johannes Kruchem und Werner Schober im Auftrag des SEC Consult Vulnerability Lab durchgeführt.

SEC Consult ist immer auf der Suche nach talentierten Sicherheitsexperten, die unser Team verstärken möchten. Weitere Informationen finden Sie unter: https://www.sec-consult.com/career