GNU/Linux >> Tutoriales Linux >  >> Linux

¿Atacar una impresora de oficina?

Puedes tener algo serio divertido jugar con impresoras, fotocopiadoras y otros dispositivos similares, incluso UPS. La seguridad suele ser una idea de último momento en el mejor de los casos, si no totalmente ausente.

Cosas que he visto:

  • Credenciales predeterminadas usadas en todas partes y paneles de configuración basados ​​en la web que almacenan contraseñas en texto sin formato, a menudo dentro de un archivo de configuración generado. Nunca he visto nada mejor que MD5 simple en las contraseñas, y en un caso vi CRC32.
  • Nombres de documentos y nombres de usuario filtrados a través de SNMP, generalmente a través de acceso de lectura abierto al dispositivo y a través de SNMPv1/2 donde no se utiliza seguridad de transporte.
  • Nombres de espacios de nombres privados SNMP predeterminados o hilarantemente débiles (generalmente "privado", "SNMP" o el nombre del fabricante), lo que le permite reconfigurar las configuraciones de TCP/IP, inyectar entradas en la tabla de enrutamiento, etc. de forma remota, y a menudo hay formas de alterar la configuración que no se puede establecer en el panel de control. Es bastante trivial enladrillar el dispositivo.
  • UPnP habilitado en el dispositivo en la configuración predeterminada, lo que permite una configuración remota más divertida. A menudo, puede imprimir páginas de prueba, realizar un restablecimiento completo del dispositivo, restablecer las credenciales del panel web, etc. Nuevamente, generalmente es posible modificar la configuración de TCP/IP y otras propiedades de red.
  • Núcleos 2.2.x y 2.4.x muy desactualizados, a menudo con muchos agujeros agradables de escalada de privilegios de raíz.
  • Scripts de actualización de firmware mal escritos en el sistema, lo que le permite actualizar firmware arbitrario a microcontroladores internos. Puede usar esto para bloquear el dispositivo o instalar un rootkit si está dispuesto a dedicar mucho tiempo a desarrollarlo.
  • Demonios SMB antiguos o personalizados, a menudo vulnerables a RCE. Fácil de usar de forma remota.
  • Servicios que se ejecutan como root, grupos de usuarios configurados incorrectamente, permisos de archivo configurados incorrectamente.
  • Los trabajos de impresión se ejecutaron de forma asíncrona mediante la ejecución de scripts de shell, lo que facilitó escalar sus privilegios hasta los del daemon (a menudo root).
  • Servidores FTP mal escritos integrados en el dispositivo. Apostaría mucho dinero a que un fuzzer podría colapsar la mayoría de esos demonios FTP.
  • Todas las aplicaciones web habituales fallan, pero especialmente las vulnerabilidades de carga de archivos.

Aquí es donde las cosas se vuelven más divertidas. Una vez que haya pwned la impresora, generalmente puede obtener nombres de usuario y otra información interesante de los protocolos de enlace SMB. También encontrará a menudo que la contraseña del panel de control web de la impresora se reutiliza para otras credenciales de red.

Sin embargo, al final del día, la impresora es una máquina interna en la red. Esto significa que puede usarlo para tunelizar ataques a otras máquinas en la red. En varias ocasiones logré obtener gcc y nmap en una fotocopiadora, que luego utilicé como base de operaciones.

¿Cual es la solución? Primero, debe reconocer que las impresoras y las fotocopiadoras suelen ser computadoras completas, que a menudo ejecutan Linux incorporado en un procesador ARM. En segundo lugar, debe bloquearlos:

  • Actualice el firmware del dispositivo a la última versión.
  • Corte la impresora de Internet. Esto debería ser obvio, pero a menudo se pasa por alto. Las impresoras/fotocopiadoras basadas en TCP/IP generalmente se vinculan a 0.0.0.0 , por lo que pueden colarse fácilmente en la WAN.
  • Si puede hacer que la impresora escuche solo el tráfico de la LAN, hágalo.
  • Cambie las credenciales predeterminadas en el panel de control web. Una vez más, es obvio, pero aún no se hace muy a menudo.
  • Encuentre cualquier servicio que se esté ejecutando en el dispositivo e intente acceder a ellos usted mismo. Una vez que esté dentro, cambie las contraseñas y apague lo que no sea necesario.
  • Consiga una herramienta de descubrimiento de SNMP y explore lo que está disponible para su impresora. SNMP tiene una pequeña curva de aprendizaje, pero vale la pena echarle un vistazo.
  • Si supervisa la red interna, configure una regla para detectar cualquier cosa inusual que salga la impresora. Esto elimina los falsos positivos y le brinda una buena indicación de cuándo está sucediendo algo dudoso.

En resumen, si se trata de un dispositivo conectado a su red, probablemente pwnable, y debe ser parte de su gestión de riesgos.


El principal problema aquí es que se puede acceder a su impresora desde fuera de su red. Yo nunca He visto una situación en la que las impresoras deben ser accesibles desde fuera de una red, ¡y quiero decir siempre! ¡Te sugiero que arregles eso, y con urgencia!

Las impresoras son más de lo que la mayoría de la gente cree, pero los riesgos se pueden gestionar manteniéndolas actualizadas, desactivando las opciones que son inseguras como http y cambiando las contraseñas de administrador.


A menudo, las impresoras mantienen registros de los documentos impresos, que a veces contienen copias de los propios documentos que se pueden descargar de forma remota. Incluso si los documentos en sí mismos no son metadatos confidenciales, a veces pueden filtrarse información como el nombre del servidor de archivos, la computadora desde la que se envió, el nombre de usuario...


Linux

  1. Linux:¿Sysfs y Devtmpfs?

  2. ¿Pci-stub Vs Vfio-pci?

  3. ¿Configurar el dispositivo Alsa predeterminado (hw:0,0) en Asoundrc?

  4. Ejemplos de comandos chfn en Linux

  5. Comando setpci:configurar el dispositivo PCI

Cómo configurar su impresora en Linux

Elegir una impresora para Linux

Cómo compartir la impresora en la red en Linux

Todo es archivo en Linux – Parte 1

¿Replicar una tarjeta SD?

Emular impresora ZPL