image

1100 onbeveiligde Lexmark-printers toegankelijk via internet

dinsdag 19 december 2017, 11:19 door Redactie, 6 reacties

Ruim 1100 Lexmark-printers zijn toegankelijk via internet omdat gebruikers geen wachtwoord hebben ingesteld. Daarvoor waarschuwen onderzoekers van securitybedrijf NewSky Security. Doordat er geen wachtwoord is ingesteld kan een aanvaller dit doen en zo controle over de printer krijgen.

De printers werden via de zoekmachine Shodan gevonden. Het ging in totaal om 1475 Lexmark-printers, waarvan er 1123 geen wachtwoord vereisten. 352 printers wezen naar een inlogpagina. De meeste printers werden in de Verenigde Staten gevonden, gevolgd door Duitsland en Brazilië. Een van de printers was van een Amerikaanse stad. Ruim 200 printers werden bij universiteiten aangetroffen.

In het geval de printers een beveiligingslek bevatten zou een aanvaller op deze manier andere systemen in het netwerk kunnen aanvallen, zo waarschuwen de onderzoekers. Onlangs werd er nog een kwetsbaarheid in printers van fabrikant Brother gevonden, waardoor een denial of service kan worden veroorzaakt. De onderzoekers die dit probleem vonden ontdekten dat er ruim 16.000 kwetsbare Brother-printers via internet toegankelijk waren.

Reacties (6)
19-12-2017, 11:44 door Anoniem
Het mooie van dit goedkope scoren door "beveilgingsbedrijven", voor diezelfde beunhazen dan, is dat dit een nooit opdrogende bron van makkelijke persberichten is. "Kijk eens, we hebben weer wat op shodan ingetikt!" -- hadden zeker niets beters te doen, zoals aan echt moeilijke beveiligingsproblemen werken, want die zijn allemaal al opgelost zeker.
19-12-2017, 15:29 door Anoniem
Door Anoniem: Het mooie van dit goedkope scoren door "beveilgingsbedrijven", voor diezelfde beunhazen dan, is dat dit een nooit opdrogende bron van makkelijke persberichten is. "Kijk eens, we hebben weer wat op shodan ingetikt!" -- hadden zeker niets beters te doen, zoals aan echt moeilijke beveiligingsproblemen werken, want die zijn allemaal al opgelost zeker.

Ben ik het niet mee eens, sure het is gratis reclame voor een bedrijfje, maar het geeft net zo goed weer even een boost aan security awareness. Dus het stukje: "joh die printers he, die moet je ook securen!".
Dus al met al positief voor de wereld + een stukje gratis reclame voor een bedrijf (lekker boeie!)
19-12-2017, 15:53 door Anoniem
Door Anoniem:
Ben ik het niet mee eens, sure het is gratis reclame voor een bedrijfje, maar het geeft net zo goed weer even een boost aan security awareness. Dus het stukje: "joh die printers he, die moet je ook securen!".
Dus al met al positief voor de wereld + een stukje gratis reclame voor een bedrijf (lekker boeie!)

Nou daar ben ik het dan weer niet mee eens... je hoeft echt niet te verwachten dat de doelgroep (de mensen die
een printer benaderbaar hebben vanaf internet) publicaties op het gebied van security leest. Wellicht kun je wat bereiken
als je het op TV behandelt in de 5-uur-show ofzo.
19-12-2017, 21:32 door [Account Verwijderd] - Bijgewerkt: 19-12-2017, 21:33
Door Anoniem: Het mooie van dit goedkope scoren door "beveilgingsbedrijven", voor diezelfde beunhazen dan, is dat dit een nooit opdrogende bron van makkelijke persberichten is. "Kijk eens, we hebben weer wat op shodan ingetikt!" -- hadden zeker niets beters te doen, zoals aan echt moeilijke beveiligingsproblemen werken, want die zijn allemaal al opgelost zeker.

Wat een gallische reactie!
Dit is net zo negatief als de oplettende buurman die je waarschuwt voor een open achterdeur tegen z'n kop stoten. (figuurlijk dus)
20-12-2017, 19:32 door Anoniem
Door Aha: Dit is net zo negatief als de oplettende buurman die je waarschuwt voor een open achterdeur tegen z'n kop stoten. (figuurlijk dus)
De oplettende buurman zoekt de publiciteit niet op om met zijn amateuristische opletendheid en de nobele daad te pronken en jou suggestief met naam aan de schandpaal te nagelen.

Jaarlijks worden er 90.000.000 printers verkocht. Een of ander bedrijfje voert een zoekresultaat uit op een scanwebsite, komt 1.100 printers tegen, waarschuwen twee eigenaren en zoeken dan de publiciteit op om met goedkope conclusies in het nieuws te komen.

Responsible disclosure is verworden tot goedkoop scoren voor amateuristische onderzoekers. Studentjes die hun cv er mee pimpen en bedrijfjes die een persberichtje maken om te pronken. Als het ze om de veiligheid te doen is zouden ze meer nadenken over het het waarop van een risico en zich bekommeren over het oplossen. Dit bedrijfje doet dat niet. Ze zoeken een paar makkelijke resultaten uit, doen wat aannamens over het risico, gooien het over de schutting en zoeken dan met slechte zelf getrokken conclusies de publiciteit.

Van een buurman die geen verstand heeft van beveiliging verwacht is conclusies waar het heen gaat met de wereld op basis van de paar observaties van openstaande zolderraampjes of niet afgesloten auto's met sleutels in het contact. Maar de buurman gaat gelukkig niet over beveiliging en zoekt gelukkig de publiciteit niet op alsof die een deskundige is. Of wil je beweren dat een professional goed bezig is door de halve waarheid te verkondigen als de waarheid en je voor te doen als professional? Als we ons gelukkig moeten prijzen met dit soort amateurisme voor beveiliging dan is het gevoel van veiligheid of onveiligheid belangrijker dan de onderbouwing en de beslissing. Dat is geen beveiliging, dat is goedkope handel. Kritiek daarop is niet gallisch.
27-12-2017, 10:31 door spatieman
iets met UPNP wat aanstaat in de router ???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.