Sicherheitslücken in HP-MFPs

Mehr als 150 Multifunktionsdrucker-Modelle von HP sind von Schwachstellen betroffen, wie die Sicherheitsspezialisten Timo Hirvonen und Alexander Bolshev von F-Secure herausgefunden haben. Zunächst enteckten die Forscher zwei Lecks in HPs Laser-MFP-Modell M725z, das Teil der Futuresmart-Produktlinie ist: Eine Lücke, die den physischen Zugriff auf Ports betrifft (CVE-2021-39237) und eine Font-Parsing-Schwachstelle (CVE-2021-39238). Die Lecks seien zwar für unbedarfte Angreifer schwierig auszunutzen, ein erfahrener Hacker könne sie aber für gezielte Attacken missbrauchen.


Ein Angriff über die Font-Parsing-Lücke könnte etwa über eine bösartige Website erfolgen, die ein Dokument mit manipulierten Fonts an den Drucker sendet – ein sogenannter Cross-Site-Printing-Angriff. Der Angreifer erhält dann die Berechtigung zum Ausführen von Code auf dem Drucker und kann auf alle Informationen zugreifen, die das Gerät durchlaufen – nicht nur die zu druckenden Dokumente, sondern auch Daten wie Passwörter, die den Zugriff auf das Unternehmensnetzwerk erlauben.

HP hat inzwischen Patches veröffentlicht, die Behebung der Schwachstellen in einem Sicherheitshinweis erklärt und einen Best Practice Guide nachgelegt. Bei F-Secure gibt es ein Video zum Thema. (ubi)