Jetzt aktualisieren! Sicherheitslücken in Brother-Druckern und anderen entdeckt
von caschy | 15 Kommentare
Im Rahmen eines Zero-Day-Forschungsprojekts hat das Sicherheitsunternehmen Rapid7 insgesamt acht neue Sicherheitslücken in Multifunktionsdruckern von Brother aufgedeckt. Die Schwachstellen betreffen nicht nur 689 verschiedene Brother-Modelle aus den Bereichen Drucker, Scanner und Etikettendrucker, sondern auch 46 Drucker von FUJIFILM Business Innovation, 5 Modelle von Ricoh, 2 von Toshiba Tec Corporation sowie 6 Geräte von Konica Minolta. Damit sind insgesamt 748 Modelle von fünf verschiedenen Herstellern betroffen.
Als besonders kritisch stuft Rapid7 die Authentifizierungsumgehung CVE-2024-51978 ein. Diese ermöglicht es einem nicht authentifizierten Angreifer, die Seriennummer eines Zielgeräts auszulesen und daraus das Standard-Administrator-Passwort zu generieren. Brother hat bestätigt, dass diese Schwachstelle nicht vollständig durch ein Firmware-Update behoben werden kann. Stattdessen musste der Herstellungsprozess für alle betroffenen Modelle angepasst werden.
Neben dieser kritischen Lücke wurden weitere Schwachstellen identifiziert, die unter anderem Stack-basierte Pufferüberläufe, Server Side Request Forgery und Denial-of-Service-Angriffe ermöglichen. Sieben der acht Sicherheitslücken können durch Firmware-Updates geschlossen werden, die die Hersteller bereits zur Verfügung gestellt haben.
Die Entdeckung dieser Schwachstellen geht auf Stephen Fewer zurück, der als Principal Security Researcher bei Rapid7 tätig ist. Die Offenlegung erfolgte in enger Abstimmung mit JPCERT/CC und Brother über einen Zeitraum von dreizehn Monaten. Brother hat sich bei Rapid7 für die Entdeckung der Sicherheitslücken bedankt und Nutzer über Gegenmaßnahmen auf der eigenen Webseite informiert.
Betroffene Nutzer sollten umgehend die von den jeweiligen Herstellern bereitgestellten Firmware-Updates einspielen und die empfohlenen Workarounds umsetzen, um ihre Geräte gegen alle acht Schwachstellen abzusichern. Detaillierte Informationen finden sich in den Sicherheitshinweisen der einzelnen Hersteller.
Modelle listet man nicht direkt, da muss man die entsprechenden Links auf den Herstellerseiten klicken, hier beispielsweise die Laser- und Tinten-Geräte von Brother.. Selbst mein uralter, aber grandioser HL-L2340D wird noch versorgt.
- Brother Laser and Inkjet Printer Advisory
- Brother Document Scanner Advisory
- Brother Label Printer Advisory
- FUJIFILM Business Innovation Advisory
- Ricoh Advisory
- Toshiba Tec Corporation Advisory
- Konica Minolta, Inc. Advisory
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Seltsam – mein Drucker ist in der Liste drin und bei „Updated Firmware“ steht „Available“. Auf der Seite von Brother finde ich zu meinem Drucker jedoch nur die Firmware, die bereits installiert und betroffen ist (von November 2024) und keine neuere…
Bei mir das Gleiche….
die CVEs sind ja von 2024. Ggf durch die Firmware vom November 2024 schon behoben?
Das ist nicht korrekt im Text wiedergegeben:
Über CVE-2024-51978 lässt sich das Standardpasswort aus der Seriennummer ermitteln. Dazu muss ich aber die Seriennummer kennen.
Hierbei hilft dann CVE-2024-51977. Darüber lässt sich die Seriennummer ermitteln.
Aber wer das Standardpasswort nicht ändert ist mal wieder selbst schuld.
Das „Problem“ besteht auch wirklich nur wenn man das Standardpasswort nicht geändert hat. Also eigentlich ist es gar nicht so ein großes Problem 😀
Doof nur, wenn der Drucker „L-2400“ von Beginn an, keine FW-Updates laden möchte. Bleibt irgendwie bei FW 1.15 stehen. Die Aktualisierung kann ich anstubsen, „bitte verlassen sie nicht die Seite – dauert bis x Minuten“, jedoch passiert nichts. Ein Ticket bei Brother endete mit, „der Drucker druckt doch noch, oder“. Seither interessiert es mich nicht. Hab ihn den Zugang zum Internet gesperrt.
Nice try. Werden mit diesem Update auch Toner von Drittherstellern geblockt?
Selben Gedanken hab auch ich direkt gehabt. 😉
Das Standardpasswort meines Laserdrucker von Brother was ich vor wenigen Jahren gekauft habe konnte ich im Internet recherchieren. Das gleiche Modell meiner Eltern 1 Jahr später gekauft hatte das Standard Passwort auf dem Drucker vermerkt und war ein anderes wie das meines Druckers. Scheint individualisiert worden zu sein. Nichtsdestotrotz habe ich die Standardisierte Passwörter somit geändert. Eine Aktualisierung der Software ist ja dann trotzdem anzuraten.
Welchen Toner darf ich danach noch verwenden? Sollte ich direkt einen neuen originalen Brother Toner kaufen? Mit dem alten Original Toner aber vielleicht ist der Chip schon „abgelaufen“ hab ich erst 500 Seiten gedruckt
– hier ist Ironie im einsatz
Bin auch skeptisch das da nicht irgendeine Firmwareseitige Tonerbindung mit eingebaut ist.
Tja, dann muss man wohl überlegen, ob man seinen Vorrat an Drittherstellerpatronen wegwirft oder die Sicherheitsupdates installiert.
Mein Brother hat noch nie ein Update gesehen und wird es auch nie. Er ist nur im privaten lokalen Netz erreichbar und der Internetzugriff im Router komplett gesperrt.
Für den seltenen Fall, dass ich von Unterwegs mal drucken muss, wird halt ne Wireguard-Verbindung zum lokalem Lan hergestellt. Fertig.
Ganz meine Meinung, ist mit meinem auch so. Er läuft so wie er ist super, darf nur ins lokale Netzwerk (damit er PDFs und Bilder per Scanner auf dem Server ablegen kann). Die FRITZ!Box hat die Kindersicherung aktiv für alle Drucker (also gesperrt). Wireguard nutze ich auch, aber zum Drucken hab ich das noch nie benutzt. Ich lege dann höchtens die Dokumente per Wireguard auf dem Server ab und drucke die, wenn ich wieder Zuhause bin. Kommt aber so gut wie nie vor, da ich normalerweise alles an Papier scanne und dann entsorge, außer ganz wichtigen Sachen wie Grundbuchauszüge vom Haus und sowas.
Die Release Notes sind durchaus Interessant: Verbesserung der Leistung des Gerätes.
Für meinen Drucker kam das letzte Firmware Update am 12.6.2025. tatsächlich installieren ließe es sich erst Anfang der Woche.
Mein Brother L3770CDW (Multifunktions-Farblaserdrucker) bekommt definitiv kein Update. Erstmal ist das Ding im Privatbesitz, kommt also nichgt jeder Hanswurst dran. Außerdem erlaube ich dem Teil keinen Internetzugriff, damit es eben NICHT die Firmware updated. Ich hab nämlich keine Lust, meine 3rd Party Tonerkartuschen entsprgen zu müssen, weil die von Brother inzwischen eventuell blockiert wurden. Eben weil der Drucker nicht ins Internet darf, lasse ich die Firmware mal schön so wie sie ist.