Im Zuge der zahlreichen HTTP-Requests, die im Gefolge des Nimda-Wurmes auftauchten, stellte sich heraus, daß einige Drucker für DoS-Angriffe anfällig sind.

Betroffene Systeme

• HP LJ Serie 2100/4000 mit JetDirect J3110A oder J3111A, Firmware-Version G.07.03 oder G.07.17 (möglicherweise sind weitere Firmware-Versionen betroffen)
• Lexmark-Drucker mit Marknet-S- oder Marknet-N-Karte (letzte vor Firmware-Version 3.19.14), bei denen der HTTP-Dienst eingeschaltet ist.
• Eventuell weitere Drucker, die HTTP-Dienste anbieten.

Nicht betroffene Systeme

• Die genannten HP-Drucker mit Firmware-Versionen ab G08.32 scheinen nicht betroffen zu sein.
• Lexmark-Drucker mit Marknet-N-Karte und Firmware-Version 3.19.14

Einfallstor
HTTP-Requests

Auswirkung
Der Drucker reagiert nicht mehr auf Anfragen über das Netz. Bei den betroffenen Modellen von HP läßt sich das Problem auch nicht durch ein Aus- und Einschalten beheben. Es ist zu befürchten, daß sich hier die Firmware selbst überschreibt.

Typ der Verwundbarkeit
denial of service (DoS)

Gefahrenpotential
Mittel bis sehr hoch. Bei HP-Druckern ist derzeit nicht klar, ob die Firmware permanent beschädigt wird und die Inanspruchnahme des Kundendienstes notwendig ist.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das RUS-CERT hat Hinweise erhalten, daß bestimmte HTTP-Requests, die auch der Nimda-Wurm verwendet, entweder durch ihre Qualität oder durch ihre schiere Anzahl dazu führen können, daß einige Drucker von HP und Lexmark ihren Dienst versagen. Die betroffenen Drucker von HP reagieren selbst nach einem Aus- und Einschalten nicht mehr auf Anfragen über das Netz. Bei den Modellen von Lexmark äußert sich das Problem durch das Auftreten des Fehlers 976:x (wobei x die Nummer der Netzwerkkarte ist).

Gegenmaßnahmen

• Möglicherweise lassen sich HP-Drucker durch folgendes Prozedere wiederbeleben:
  • Drucker ausschalten
  • LAN-Kabel abziehen
  • JetDirect-Karte ausbauen
  • Kaltstart durchführen (Start-Taste beim Einschalten drücken)
  • Drucker ausschalten JetDirect-Karte wieder einbauen
  • nochmals einen Cold-Reset durchführen
  • schließlich das LAN-Kabel wieder einstecken
  Sollte es sich allerdings bewahrheiten, daß die Firmware durch den Angriff beschädigt wird, kann davon ausgegeangen werden, daß obig beschriebene Prozedur nicht ausreichend ist.
  
  
• Zur Wiederinbetriebnahme von Lexmark-Druckern ist nach Angaben von Lexmark Deutschland ein Aus- und Einschalten ausreichend. Mittels des Kommandos finger@DRUCKER-NAME kann die Firmware-Version ermittelt werden. Für die Marknet-N-Karten ist ein Firmware-Update verfügbar, es kann mittels des Kommandos

  C:\WINDOWS\> tftp -i IP-DES-DRUCKERS put FIRMWARE-DATEI /dev/flash
  

  (von einem Windows-System aus) bzw.

  $ tftp DRUCKER-NAME
  tftp> put FIRMWARE-DATEI /dev/flash
  tftp> ^D
  $ 
  

  (von einem UNIX-System aus) eingespielt werden.

Workarounds

• Generell:
  Angriffen aus fremden Netzen kann duch eine Filterung des Verkehrs auf Port 80 durch ein Firewallsystem vorgebeugt werden.
• Bei den betroffenen Lexmark-Druckern kann der HTTP-Dienst deaktiviert werden (mittels telnet DRUCKER-NAME 9000 und dem Folgen der Menüs).

Weitere Artikel zu diesem Thema:

• [MS/IIS] Entfernung des Nimda-Wurmes (2001-09-21)
  Wegen einiger Aspekte des Nimda-Wurmes gestaltet sich das Entfernen des Nimda-Wurmes von einem betroffenen System äußerst schwierig.
• [MS/Generic, IIS] Neuer Wurm nutzt mehrere Schwachstellen zur Verbreitung aus (Update) (2001-09-18)
  Ein Wurm namens Nimda nutzt scheinbar mehrere Schwachstellen von Microsoft Windows zur Verbreitung aus. Neben mehreren Schwachstellen des IIS-Webservers findet eine Verbreitung über ein E-Mail-Attachment (README.EXE) statt. Ferner werden durch manipulierte Webseiten (die mit einer readme.eml ersetzt wurden) Systeme mit ungepachtem Internet Explorer, bei dem Besuch der Webseite mit dem Internet Explorer, infiziert.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/