HP Drucker Webinterface mit Schwachstellen !
Nachdem ich nun stolzer Besitzer eines Farblaser CM-1415FNW MFP von HP bin, musste ich leider Festellen das dieser über eine Sicherheitslücke im Webinterface verfügt. Zuvor muß ich anmerken das ich HP berreits vor einigen Monaten auf diese Sicherheitslücke aufmerksam gemacht habe per Mail. Im Dezember kam dann ein Firmware Update von HP raus, aber leider wie auch nicht anders zu Erwarten wurde eben diese Lücke nicht behoben. Sie besteht weiterhin und so wie ich das bisher sehen konnte bei allen HP Druckern die über ein Webinterface verfügen. Ich erkläre nun etwas genauer um was es geht.
Der CM-1415FNW bzw. auch andere HP Drucker mit Webinterface bieten die Möglichkeit den Drucker per Browser zu konfigurieren, das umfasst Papier Einstellungen, Farbeinstellungen, Druckdichte, Kalibrierungseinstellungen, Netzwerk Einstellungen, FAX Einstellungen, Status Anzeige etc. Das Webinterface bietet daher die Möglichkeit den Zugang zu eben die Einstellungen per Passwort zu Schützen. Leider ist davon der Abschnitt STATUS nicht betroffen, zu diesen man auch Zugang hat sobald man das Webinterface aufruft ohne Passworteingabe. Das Problem ist das sich in diesem Abschnitt Status der Unterbereich Berichte befindet, in eben diesen Unterbereich kann nun jeder der Zugang zum Webinterface hat Status Berichte drucken ohne sich vorher mit Passwort legitimiert zu haben. Mann muß sich also nicht wundern wen man eines Tages von Arbeit nach hause kommt, das Papier und die Toner Komplett leer sind, weil irgendjemand aus dem Internet auf mein Webinterface meines HP Druckers gestoßen ist und da 1000x Berichte gedruckt hat ohne das er ein Passwort eingeben musste. Siehe Bild.
 Auf diesen Bild ist Deutlich zu sehen wie man ohne Anmeldung (Oben rechts) Berichte Drucken kann, oder sich andere Informationen der Gerätekonfiguration anschauen kann ohne sich vorher durch Passwort angemeldet zu haben, obwohl dieser Passwort Schutz eingerichtet ist, aber nur bei den anderen Punkten außer Status auch greift. |
HP könnte jetzt natürlich Argumentieren das dieses Webinterface nur für das Lokale LAN da ist, dem muß ich aber leider widersprechen da es sich ja gerade bei einem MFP anbietet diesen auch von außen also über das Internet zu Konfigurieren. Hier sei nur alleine die Möglichkeit der FAX Umleitung genannt zu einer anderen Rufnummer oder die Möglichkeit den HP Web-Service zu konfigurieren. Im Moment bleibt einem nur übrig die Umleitung im Router wieder zu deaktivieren wen man keine Bösen Überraschungen erwarten möchte und zu hoffen das es HP in Zukunft mal schafft diese kleine Sicherheitslücke im Webinterface ihrer Drucker zu schließen. Wen man als Firma natürlich Mails die auf solche Hinweise eingehen nicht weiter beachtet wartet man allerdings vergebens auf ein Firmware Update. Über Google lassen sich zudem diese Drucker leicht auffinden anhand dieser URL kann man unter STATUS auf diese Drucker zugreifen, zudem sind die meisten noch nicht einmal mit Passwort geschützt. Ich wette die Anwender freuen sich wen jemand von außen 100x auf Infoseite drucken drückt. Da kann man wirklich nur mit den Kopfschütteln und sich fragen wann HP aufwacht und den Passwortschutz bis auf das Status Menü ausdehnt und vor allem wann so manche HP Drucker Anwender aufwachen und wenigstens ihre Systemeinstellungen mit Passwort schützen.
Nachtrag 20.03.2012 : Auch mit den aktuellen Firmware Update von HP vom 16.2.2012 ist diese Lücke immer noch vorhanden.
Michael Jäkel (DD6VD)
