Simpel http-verzoek legt printers lam
Bepaalde modellen printers van Brother blijken op eenvoudige wijze te saboteren. Het afvuren van een http post-verzoek, dat specifiek is aangepast, veroorzaakt een succesvolle Denial of Service (DoS). Security-onderzoekers van Trustwave hebben dit ontdekt en geopenbaard, mét exploitcode.
© Brother
Brother
Het enkele, misvormde post request raakt de web front-end (Debut) die is ingebouwd in bepaalde Brother-printers. Het malafide http-verzoek levert de aanvaller een foutcode 500 op én laat de webserver hangen. Door dat laatste weigert de printer alle printopdrachten en is de webinterface ontoegankelijk.
De ontdekkers van deze kwetsbaarheid stellen in hun blogpost dat ze herhaalde pogingen hebben ondernomen om de printerfabrikant te informeren. Ondanks die meldingen leek er geen patch in aantocht en dus zijn de onderzoekers van Trustwave’s SpiderLabs overgegaan tot openbaarmaking.
Spervuur
Het CVE-bulletin over deze printer-DoS vermeldt dat het gaat om de Debut-webserver tot en met versie 1.20. Het hangen van die ingebedde software is van tijdelijke aard, maar een aanvaller kan het lamleggende post-verzoek telkens opnieuw versturen om de printer uitgeschakeld te houden.
De ontdekkers geven niet alleen details over de kwetsbaarheid, maar leveren dat compleet met PoC code (Proof-of-Concept) waarmee de zwakke plek valt uit te buiten. Tegenover het Britse SC Magazine laat Brother UK weten dat het de zaak onderzoekt. De fabrikant stelt security zeer serieus te nemen en zegt toe met een oplossing te komen. Een update zal te zijner tijd verschijnen.
In de tussentijd kunnen beheerders kwetsbare Brother-printers beter afschermen, bijvoorbeeld met firewall-regels. De printermaker raadt gebruikers hoe dan ook aan om beveiligingsmaatregelen te nemen zoals het instellen van een wachtwoord, naast het gebruik van IPsec en SSL, plus het volgen van de ISO 27001-richtlijnen. Trustwave adviseert Access Control Lists en goed ingerichte netwerksegmentering.
DoS als afleiding
In hun blogpost merken de ontdekkers nog op dat DoS-aanvallen meer zijn dan slechts een geval van overlast. Het platleggen van diensten, inclusief printen, kost hoe dan ook tijd en moeite om op te lossen en in de tussentijd kan gewoon werk niet worden verricht. Verder kan een professionele aanvaller gebruik maken van deze afleiding door een andere aanval in te zetten. Dit kan zelfs de gedaante aannemen van een nepmonteur die komt na een zogenaamde storingsmelding en wordt binnengelaten in een bedrijf.
MEER AG CONNECT?
Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee