{"id":313808,"date":"2025-07-23T08:32:21","date_gmt":"2025-07-23T06:32:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313808"},"modified":"2025-07-25T02:46:55","modified_gmt":"2025-07-25T00:46:55","slug":"schwachstellen-in-ca-750-druckermodellen-werden-seit-juli-2025-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/23\/schwachstellen-in-ca-750-druckermodellen-werden-seit-juli-2025-ausgenutzt\/","title":{"rendered":"Schwachstellen in ca. 750 Druckermodellen werden seit Juli 2025 ausgenutzt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/07\/25\/vulnerabilities-in-around-750-printer-models-have-been-exploited-since-july-2025\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Zum Juni 2025 wurde bekannt, dass es Schwachstellen in der Firmware von knapp 700 Druckermodellen von Brother und weiteren Herstellern gibt. Nun gibt es Berichte, dass Angreifer die nicht per Firmware-Update aktualisierten Drucker \u00fcber diese Schwachstellen angreifen.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es bei den Druckerschwachstellen?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/e198feeaa9044a03805819de2a8c00f2\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscher von Rapid 7 haben einen genaueren Blick auf die Firmware diverser Druckermodelle geworfen, um diese auf Schwachstellen zu untersuchen. Beim 0-Day-Forschungsprojekt wurden vorrangig Multifunktionsdrucker (MFP) Modelle des Herstellers Brother untersucht. Sp\u00e4ter hat man die\u00a0umfangreiche Analyse auf einige Modelle weiterer Hersteller ausgeweitet.<\/p>\n<p>Am Ende dieser Untersuchung waren acht (8) Schwachstellen in der Firmware diverser Drucker bekannt, von denen eine Sicherheitsl\u00fccke einen CVSS-Score von 9.8 erhielt. Die Liste der Schwachstellen findet sich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/06\/27\/sicherheitsluecken-in-689-brother-und-anderen-druckermodellen-juni-2024\/\">Sicherheitsl\u00fccken in 689 Brother- und anderen Druckermodellen (Juni 2025)<\/a>.<\/p>\n<ul>\n<li>Die Schwachstelle <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-51978\" target=\"_blank\" rel=\"noopener\">CVE-2024-51978<\/a> (CVSS-Score von 9.8) erm\u00f6glicht einem nicht authentifizierten Angreifer ein Standard-Administrator-Passwort f\u00fcr den Drucker zu\u00a0 generieren.<\/li>\n<li>Die Sicherheitsl\u00fccke <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-51977\" target=\"_blank\" rel=\"noopener\">CVE-2024-51977<\/a> (CVSS-Score von 5.3)\u00a0erm\u00f6glicht es einem nicht authentifizierten Angreifer, remote, die Seriennummer des Zielger\u00e4ts zusammen mit mehreren anderen sensiblen Informationen auszusp\u00e4hen.<\/li>\n<\/ul>\n<p>Die Kenntnis der Seriennummer eines Zielger\u00e4ts (Abrufbar \u00fcber CVE-2024-51977) ist erforderlich, um die Sicherheitsanf\u00e4lligkeit CVE-2024-51978 zur Umgehung der Authentifizierung auszunutzen. Wenn Drucker, die im Rapid 7-Beitrag <a href=\"https:\/\/www.rapid7.com\/blog\/post\/multiple-brother-devices-multiple-vulnerabilities-fixed\/\" target=\"_blank\" rel=\"noopener\">Multiple Brother Devices: Multiple Vulnerabilities (FIXED)<\/a> genannt werden, f\u00fcr Angreifer erreichbar sind, ist ein Firmware-Update dringend empfohlen.<\/p>\n<h2>Angriffe auf Drucker bekannt geworden<\/h2>\n<p>Ich habe den Sachverhalt nicht weiter verfolgt, aber heise ist <a href=\"https:\/\/www.heise.de\/news\/Multifunktionsdrucker-verschiedener-Hersteller-Aktive-Angriffe-auf-Juni-Luecken-10495931.html\" target=\"_blank\" rel=\"noopener\">aufgefallen<\/a>, dass es nun Berichte \u00fcber Angriffe auf verwundbare Drucker gibt. CrowdSec, die \u00fcber ein Tool \"crowdsourced\" Daten sammeln, meldet in einem LinkedIn-Beitrag <a href=\"https:\/\/www.linkedin.com\/pulse\/cve-2024-51977-new-vulnerability-turning-printers-botnets-crowdsec-tbmnf\" target=\"_blank\" rel=\"noopener\">CVE-2024-51977: The New Vulnerability Turning Printers into Botnets<\/a> vom 21. Juli 2025, dann man jetzt konkret Angriffe \u00fcber die Schwachstellen CVE-2024-51978 und CVE-2024-51977 beobachtet habe.<\/p>\n<p><a href=\"https:\/\/www.linkedin.com\/pulse\/cve-2024-51977-new-vulnerability-turning-printers-botnets-crowdsec-tbmnf\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/R0XN2yfT\/image.png\" alt=\"Printer attacks\" width=\"640\" height=\"635\" \/><\/a><\/p>\n<p>Es hei\u00dft, dass CrowdSec Network eine Welle von Angriffsversuchen auf die Schwachstelle CVE-2024-51977 beobachtet habe (siehe folgende Abbildung). Der Beitrag erw\u00e4hnt, dass Rapid7 ebenfalls\u00a0 solche Angriffsversuche entdeckt habe. Die Angriffe zielen auf \u00fcber 750 verschiedene Druckermodelle der Marken Brother, FUJIFILM und Toshiba betreffen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/zX2Ld9CS\/image.png\" alt=\"Attacks on printers\" width=\"640\" height=\"273\" \/><br \/>\nAttacks on printers, Souce: CrowdSec Network<\/p>\n<p>Erste Angriffsversuche datieren bereits vom 4. Juli 2025 (Unabh\u00e4ngigkeitstag in den USA) und setzen sich in den Folgewochen fort. Seit dem 18.\/19. Juli 2025 gibt es einen Anstieg, wobei die absolute Zahl der detektierten Versuche nicht angegeben wird.<\/p>\n<p>CrowdSec Network schreibt aber, dass die meisten Ger\u00e4te nicht vollst\u00e4ndig gepatcht werden k\u00f6nnen. Daher geht man davon aus, dass diese Kampagne andauern wird, da Botnets die Schwachstelle f\u00fcr ihre Exploit-Ketten nutzen werden.<\/p>\n<p>Hier bleibt Administratoren nur, die betreffenden Drucker bestm\u00f6glich im Netzwerk zu isolieren. Gr\u00fcnde, warum Drucker ggf. von au\u00dfen erreichbar sind, w\u00e4ren: Ports von der Druckersoftware ge\u00f6ffnet, um Druckerst\u00e4nde bei Abos abzurufen oder Firmware-St\u00e4nde abzufragen (etc.). Ich tippe auch darauf, dass Angriffe von innen \u00fcber Malware ausf\u00fchrbar sind (notfalls sogar per Script).<\/p>\n<p>CrowdSec Network wirbt in seinem LinkedIn-Post zudem daf\u00fcr, dass die Leute deren Crowdsec CTI zum Blockieren der IPs der Angreifer sowie die Crowdsec Web Application Firewall installieren sollen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zum Juni 2025 wurde bekannt, dass es Schwachstellen in der Firmware von knapp 700 Druckermodellen von Brother und weiteren Herstellern gibt. Nun gibt es Berichte, dass Angreifer die nicht per Firmware-Update aktualisierten Drucker \u00fcber diese Schwachstellen angreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,7459],"tags":[614,6664,4328],"class_list":["post-313808","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-software","tag-drucker","tag-schwachstelle","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313808"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313808\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}