Puede divertirse en serio jugando con impresoras, fotocopiadoras y otros dispositivos similares, incluso con UPS. Por lo general, la seguridad es una idea de último momento, si no está totalmente ausente.
Cosas que he visto:
- Las credenciales predeterminadas se utilizan en todas partes y los paneles de configuración basados en la web que almacenan contraseñas en texto sin formato, a menudo dentro de un archivo de configuración generado. Nunca he visto nada mejor que el simple MD5 en las contraseñas, y en un caso vi CRC32.
- Los nombres de los documentos y los nombres de usuario se filtraron a través de SNMP, generalmente a través del acceso de lectura abierta al dispositivo y a través de SNMPv1 / 2 donde no se usa seguridad de transporte.
- Nombres de espacio de nombres privados SNMP predeterminados o hilarantemente débiles (usualmente "privados", "SNMP" o el nombre del fabricante), lo que le permite reconfigurar las configuraciones TCP / IP, inyectar entradas en la tabla de enrutamiento, etc. de manera remota, y con frecuencia formas de modificar la configuración que no se pueden establecer en el panel de control. Es bastante trivial el soft-brick del dispositivo.
- UPnP habilitado en el dispositivo en la configuración predeterminada, lo que permite una mayor diversión de configuración remota. A menudo, puede imprimir páginas de prueba, reiniciar el dispositivo, restablecer las credenciales del panel web, etc. Una vez más, generalmente es posible modificar la configuración de TCP / IP y otras propiedades de red.
- Kernels 2.2.xy 2.4.x muy desactualizados, a menudo con muchos agujeros de privilegio de privilegios de raíz.
- Los scripts de actualización de firmware mal escritos en el sistema, lo que le permite transferir firmware arbitrario a los microcontroladores internos. Puede usar esto para bloquear el dispositivo o instalar un rootkit si está dispuesto a pasar mucho tiempo desarrollándolo.
- Demonios SMB personalizados o antiguos, a menudo vulnerables a RCE. Fácil de pwn de forma remota.
- Los servicios se ejecutan como root, los grupos de usuarios se configuran incorrectamente, los permisos de archivo se configuran incorrectamente.
- Los trabajos de impresión se ejecutaron de forma asíncrona mediante la ejecución de scripts de shell, lo que facilita la escalada de sus privilegios hasta la del demonio (a menudo raíz).
- Servidores FTP mal escritos incorporados en el dispositivo. Apostaría mucho dinero a que un fuzzer podría bloquear la mayoría de esos demonios FTP.
- Todas las aplicaciones web habituales fallan, pero especialmente las vulnerabilidades de carga de archivos.
Aquí es donde las cosas se vuelven más divertidas. Una vez que haya pulsado la impresora, por lo general puede obtener nombres de usuario y otra información jugosa a través de SMB Handshakes. A menudo, también encontrará que la contraseña del panel de control web de la impresora se reutiliza para otras credenciales de red.
Sin embargo, al final del día, la impresora es una máquina interna en la red. Esto significa que puede usarlo para ataques de túnel a otras máquinas en la red. En varias ocasiones, he logrado obtener gcc y nmap en una fotocopiadora, que luego usé como base de operaciones.
¿Cuál es la solución? Primero, debe reconocer que las impresoras y las fotocopiadoras son generalmente computadoras de pleno derecho, que a menudo ejecutan Linux incorporado en un procesador ARM. Segundo, necesitas bloquearlos:
- Actualice el firmware del dispositivo a la última versión.
- Apaga la impresora de Internet. Esto debería ser obvio, pero a menudo se pasa por alto. Las impresoras / fotocopiadoras basadas en TCP / IP generalmente se unen a
0.0.0.0
, por lo que pueden introducirse fácilmente en la WAN.
- Si puede hacer que la impresora solo escuche el tráfico de la LAN, hágalo.
- Cambie las credenciales predeterminadas en el panel de control web. Una vez más, es obvio, pero aún no se hace con mucha frecuencia.
- Busque cualquier servicio que se ejecute en el dispositivo e intente acceder a ellos usted mismo. Una vez que estés dentro, cambia las contraseñas y desactiva lo que no es necesario.
- Consiga una herramienta de descubrimiento SNMP y investigue qué hay disponible para su impresora. SNMP tiene una pequeña curva de aprendizaje, pero vale la pena echarle un vistazo.
- Si realiza un monitoreo interno de la red, configure una regla para observar cualquier cosa inusual que salga de de la impresora. Esto reduce los falsos positivos de inmediato y le da una buena indicación de cuándo está sucediendo algo dudoso.
En definitiva, si se trata de un dispositivo conectado a su red, es probablemente ejecutable, y debería ser parte de su gestión de riesgos.