Your printer is part of a flaming botnet..

Afgelopen dagen hebben we diverse meldingen gekregen van gebruikers waarbij er diverse type printers zijn gehackt. Uit de printer komt een printje waarop het volgende staat:


GET / HTTP/1.0
Host: xx.xxx.xxx.xx:9100

GET / HTTP/1.0
Host: xx.xxx.xxx.xx:9100

Stackoverflowin has returned to his glory, your printer is part of a flaming botnet

We hebben gezien dat meldingen af kunnen wijken van het bovenstaande. Zeer waarschijnlijk ziet u wel een vergelijkbare tekst in het blaadje dat geprint is. De volgende typen printers zijn getroffen door de hacker.

  • HP
  • Samsung
  • Epson
  • Canon
  • Brother
  • Afico
  • Konica Minolta
  • Oki


Gevolgen van de inbraak op uw printer
Uw printer kan mogelijk misbruikt worden om aanvallen uit te voeren op andere apparaten op het internet. Zo kan uw printer participeren in een botnet waardoor uw internet connectie misbruikt kan worden om websites of diensten offline te halen. Internetproviders zijn hier over het algemeen niet blij mee en dit kan leiden tot afsluiting van uw internetverbinding.

Heeft er misbruik plaatsgevonden via deze hack?
De hacker stackoverflowin is een white hat security specialist. Zo wordt het door de persoon zelf aangeduid via twitter: https://twitter.com/lmaostack Vooralsnog hebben wij geen meldingen ontvangen van misbruik door de kwetsbaarheid anders dan het printje dat is gemaakt.

Het lijkt erop dat de hacker “stackoverflowin” mensen attent wil maken dat er een kwetsbaarheid zit in de printer die bruikbaar is voor vrijwel het gehele internet. Mochten er zaken zijn waarbij er meer speelt als het printje horen wij hier graag over.

Moet ik hier actie op ondernemen?
Ja dat moet u zeker. Uw printer is nu op afstand te bedienen door vrijwel iedereen. Dat is geen gewenste zaak. Daarom hebben we hier een plan van aanpak gemaakt voor alle getroffenen:

1. Log in op router of firewall ( 192.168.0.1, 192.168.1.1 of 192.168.1.254 in de meeste gevallen )
2. Ga naar portforwarding ( doorsturen van publieke poorten naar interne poorten ) en verwijder de regel die gebruik maakt van poort 9100. Poort 9100 wordt nu misbruikt.
3. Wijzig het wachtwoord van uw router en printer ( EWS ) om te voorkomen dat deze kwetsbaarheid nogmaals gebruikt kan worden. Vele printers maken gebruik van een EWS / webinterface waarmee de printer beheert kan worden op afstand. Zorg dat hier te allen tijde een wachtwoord actief is en wijzig deze nu. U kunt via de printer netwerkinstellingen afdrukken. Het IP-adres dat hier op staat kunt u gebruiken om de webserver te benaderen.

Heeft u geen router?
Dat zou betekenen dat uw printer direct aan het internet is gekoppeld. Wij adviseren om direct een router te plaatsen. Een router zorgt voor een betere beveiliging wanneer uw computers aan internet verbonden zijn.

Wat is portforwarding of een router?
In dit geval raden we u aan om een lokale computer professional in te schakelen die u kan helpen met het beschermen van uw printer en netwerk.

Mocht u vragen aan ons hebben over dit blog? Laat het weten via ons contactformulier.