¿Atacando una impresora de oficina?

116

Hice un escaneo de nmap en una impresora de oficina avanzada que tiene un nombre de dominio y se puede acceder desde fuera de la red corporativa. Sorprendentemente, encontré muchos puertos abiertos como http: 80, https: 443 y svrloc: 427 y algunos otros. La huella digital del SO dice en alguna parte: "... x86_64-unknown-linux-gnu ...", lo que puede indicar que se trata de una especie de Linux incorporado que ejecuta algún software de servidor para la funcionalidad de la impresora.

¿Cómo puedo saber si esta impresora está aumentando la superficie de ataque en la red? Por ejemplo, puede ser explotado a través de una escalada de privilegios remotos vul. y luego lanzar un ataque de túnel en otros hosts en la red?

    
pregunta hsnm 06.11.2012 - 17:27
fuente

8 respuestas

146

Puede divertirse en serio jugando con impresoras, fotocopiadoras y otros dispositivos similares, incluso con UPS. Por lo general, la seguridad es una idea de último momento, si no está totalmente ausente.

Cosas que he visto:

  • Las credenciales predeterminadas se utilizan en todas partes y los paneles de configuración basados en la web que almacenan contraseñas en texto sin formato, a menudo dentro de un archivo de configuración generado. Nunca he visto nada mejor que el simple MD5 en las contraseñas, y en un caso vi CRC32.
  • Los nombres de los documentos y los nombres de usuario se filtraron a través de SNMP, generalmente a través del acceso de lectura abierta al dispositivo y a través de SNMPv1 / 2 donde no se usa seguridad de transporte.
  • Nombres de espacio de nombres privados SNMP predeterminados o hilarantemente débiles (usualmente "privados", "SNMP" o el nombre del fabricante), lo que le permite reconfigurar las configuraciones TCP / IP, inyectar entradas en la tabla de enrutamiento, etc. de manera remota, y con frecuencia formas de modificar la configuración que no se pueden establecer en el panel de control. Es bastante trivial el soft-brick del dispositivo.
  • UPnP habilitado en el dispositivo en la configuración predeterminada, lo que permite una mayor diversión de configuración remota. A menudo, puede imprimir páginas de prueba, reiniciar el dispositivo, restablecer las credenciales del panel web, etc. Una vez más, generalmente es posible modificar la configuración de TCP / IP y otras propiedades de red.
  • Kernels 2.2.xy 2.4.x muy desactualizados, a menudo con muchos agujeros de privilegio de privilegios de raíz.
  • Los scripts de actualización de firmware mal escritos en el sistema, lo que le permite transferir firmware arbitrario a los microcontroladores internos. Puede usar esto para bloquear el dispositivo o instalar un rootkit si está dispuesto a pasar mucho tiempo desarrollándolo.
  • Demonios SMB personalizados o antiguos, a menudo vulnerables a RCE. Fácil de pwn de forma remota.
  • Los servicios se ejecutan como root, los grupos de usuarios se configuran incorrectamente, los permisos de archivo se configuran incorrectamente.
  • Los trabajos de impresión se ejecutaron de forma asíncrona mediante la ejecución de scripts de shell, lo que facilita la escalada de sus privilegios hasta la del demonio (a menudo raíz).
  • Servidores FTP mal escritos incorporados en el dispositivo. Apostaría mucho dinero a que un fuzzer podría bloquear la mayoría de esos demonios FTP.
  • Todas las aplicaciones web habituales fallan, pero especialmente las vulnerabilidades de carga de archivos.

Aquí es donde las cosas se vuelven más divertidas. Una vez que haya pulsado la impresora, por lo general puede obtener nombres de usuario y otra información jugosa a través de SMB Handshakes. A menudo, también encontrará que la contraseña del panel de control web de la impresora se reutiliza para otras credenciales de red.

Sin embargo, al final del día, la impresora es una máquina interna en la red. Esto significa que puede usarlo para ataques de túnel a otras máquinas en la red. En varias ocasiones, he logrado obtener gcc y nmap en una fotocopiadora, que luego usé como base de operaciones.

¿Cuál es la solución? Primero, debe reconocer que las impresoras y las fotocopiadoras son generalmente computadoras de pleno derecho, que a menudo ejecutan Linux incorporado en un procesador ARM. Segundo, necesitas bloquearlos:

  • Actualice el firmware del dispositivo a la última versión.
  • Apaga la impresora de Internet. Esto debería ser obvio, pero a menudo se pasa por alto. Las impresoras / fotocopiadoras basadas en TCP / IP generalmente se unen a 0.0.0.0 , por lo que pueden introducirse fácilmente en la WAN.
  • Si puede hacer que la impresora solo escuche el tráfico de la LAN, hágalo.
  • Cambie las credenciales predeterminadas en el panel de control web. Una vez más, es obvio, pero aún no se hace con mucha frecuencia.
  • Busque cualquier servicio que se ejecute en el dispositivo e intente acceder a ellos usted mismo. Una vez que estés dentro, cambia las contraseñas y desactiva lo que no es necesario.
  • Consiga una herramienta de descubrimiento SNMP y investigue qué hay disponible para su impresora. SNMP tiene una pequeña curva de aprendizaje, pero vale la pena echarle un vistazo.
  • Si realiza un monitoreo interno de la red, configure una regla para observar cualquier cosa inusual que salga de de la impresora. Esto reduce los falsos positivos de inmediato y le da una buena indicación de cuándo está sucediendo algo dudoso.

En definitiva, si se trata de un dispositivo conectado a su red, es probablemente ejecutable, y debería ser parte de su gestión de riesgos.

    
respondido por el Polynomial 06.11.2012 - 18:03
fuente
16

El principal problema aquí es que se puede acceder a su impresora desde fuera de su red. Nunca he visto una situación en la que las impresoras deban ser accesibles desde fuera de una red, y me refiero a todas. Le sugiero que lo arregle, y con urgencia!

Las impresoras tienen más en cuenta de lo que la mayoría de la gente cree, pero los riesgos se pueden gestionar manteniéndolos actualizados, desactivando las opciones que son inseguras como http y cambiando las contraseñas de administrador.

    
respondido por el GdD 06.11.2012 - 18:12
fuente
8

A menudo, las impresoras mantienen registros de documentos impresos, que a veces contienen copias de los propios documentos y se pueden descargar de forma remota. Incluso si los documentos en sí no son sensibles, los metadatos a veces pueden filtrar información como el nombre del servidor de archivos, la computadora desde la que se envió, el nombre de usuario ...

    
respondido por el ewanm89 06.11.2012 - 17:58
fuente
6

En general, las impresoras son el riesgo invisible y no mitigado en muchas redes. Tendemos a pensar que no son computadoras, pero el hecho es que casi todas las impresoras de red modernas tienen un servidor de impresión bastante elaborado, que a menudo ejecuta algún tipo de linux integrado, y con mucha poca atención a la seguridad. Dado que tienen un microcontrolador completo, es teóricamente posible que casi cualquier ataque que se pueda realizar con una computadora o un conector de red abierto en su red también se pueda realizar desde la impresora.

Al acercarme a una impresora conectada directamente a la web, primero me preguntaría por qué necesita vivir allí en lugar de ir a través de algún otro tipo de servicio de impresión para solicitar que los documentos se pongan en cola. Si hay una razón convincente para que viva en el exterior de su red, ¿hay alguna razón por la que deba permitirse el ingreso? Si está disponible para Internet, los usuarios internos podrían conectarse a él a través de Internet de la misma manera que lo podría hacer alguien fuera de la red. Esto también podría proporcionar cierto aislamiento.

    
respondido por el AJ Henderson 06.11.2012 - 17:53
fuente
3

Es un punto de ataque, así que sí, aumenta la superficie de ataque de su red. Ese punto podría ser usado para llegar a otra página web interna. Tal vez su impresora tenga credenciales de red que pueda robar o reproducir, etc.

Un simple ataque a una impresora es cambiar su configuración para guardar documentos impresos o escaneados / enviados por fax localmente y recuperarlos más tarde. La impresora en sí misma es irrelevante, son los datos a los que le da acceso lo que importa.

Es probable que los puertos HTTP (S) le ofrezcan una página web con una ventana VNC implementada como un applet de Java (nuestra impresora Lexmark lo hace). Incluso si la impresora física requiere que presentemos nuestra credencial de acceso, una conexión VNC secuestrará la "sesión" de alguien que se encuentra localmente en la impresora, las credenciales y todo.

Lo que puedes hacer realmente depende del tipo de impresora y de la persistencia del ataque.

    
respondido por el ixe013 06.11.2012 - 17:39
fuente
3

Esta es una implicación física única de que una impresora está en peligro:

enlace

He usado Nessus y descubrí que incluso las impresoras con las funciones más básicas que encontrarás en las redes domésticas tienen vulnerabilidades como las credenciales predeterminadas y los puertos abiertos en abundancia.

    
respondido por el rutgersmike 06.11.2012 - 23:16
fuente
2

Parece extraño y es posible que tenga razones para ello, pero es raro que una necesidad comercial tenga acceso a una impresora fuera del firewall Y la VPN. Ahora estoy generalizando pero con una impresora "avanzada":

  • Tenga en cuenta que una "impresora segura" no aumenta las ventas. Es probable que haya muy poco esfuerzo de ingeniería para asegurar la impresora, para empezar.
  • Debido a lo anterior, es probable que el software y el kernel sean más antiguos. es decir, sus vulnerabilidades de seguridad ya son conocidas y publicadas
  • No lo pienses como una "impresora", es esencialmente un servidor que ejecuta Linux. Linux no puede parchear o endurecer fácilmente
  • Es esencialmente un punto de lanzamiento de gran para ataques más sofisticados, ya que esta situación probablemente rompe muchas suposiciones de seguridad hechas al diseñar la política de seguridad (por ejemplo: contraseña de FTP, ya que no hay rastreadores de redes maliciosos). Falsificar DNS = > MITM = > túneles de tráfico SSL fuera.
  • Si se trata de un escáner, muchos dispositivos almacenan en caché los documentos escaneados en la carpeta temporal (de manera similar con las colas de impresoras en el dispositivo)
respondido por el DeepSpace101 07.11.2012 - 04:03
fuente
1

Me gustaría mencionar un aspecto diferente de esto: muchos fabricantes de copiadoras / dispositivos solicitarán que puedan acceder al dispositivo de forma remota como parte de su contacto de soporte. Eso seguramente lleva a algunas compañías que permiten el acceso directamente al dispositivo.

Una mejor solución es permitir que el personal de soporte externo solo se conecte a un host de bastión y se conecte a la copiadora / dispositivo desde allí.

    
respondido por el scuzzy-delta 06.11.2012 - 23:17
fuente

Lea otras preguntas en las etiquetas