web-dev-qa-db-fra.com

Attaquer une imprimante de bureau?

J'ai effectué une numérisation nmap sur une imprimante de bureau avancée dotée d'un nom de domaine et accessible depuis l'extérieur du réseau d'entreprise. Étonnamment, j'ai trouvé de nombreux ports ouverts comme http: 80, https: 443 et svrloc: 427 et quelques autres. L'empreinte digitale du système d'exploitation indique quelque part: "... x86_64-unknown-linux-gnu ...", ce qui peut indiquer qu'il s'agit d'une sorte de Linux embarqué exécutant un logiciel serveur pour les fonctionnalités de l'imprimante.

Comment savoir si cette imprimante augmente la surface d'attaque sur le réseau? Par exemple, peut-il être exploité via une vul à distance d'élévation de privilèges. puis lancer une attaque de tunneling sur d'autres hôtes du réseau?

117
hsnm

Vous pouvez vous amuser sérieusement à jouer avec des imprimantes, des photocopieuses et d'autres appareils de ce type - même des onduleurs. La sécurité est généralement une réflexion après coup, sinon totalement absente.

Des trucs que j'ai vus:

  • Informations d'identification par défaut utilisées partout, et panneaux de configuration basés sur le Web stockant les mots de passe en texte brut, souvent dans un fichier de configuration généré. Je n'ai jamais rien vu de mieux que du simple MD5 sur les mots de passe, et dans un cas, j'ai vu CRC32.
  • Les noms de documents et les noms d'utilisateurs ont été divulgués via SNMP, généralement via un accès en lecture ouvert à l'appareil et via SNMPv1/2 où aucune sécurité de transport n'est utilisée.
  • Noms d'espaces de noms privés SNMP par défaut ou hilarement faibles (généralement "privés", "SNMP" ou le nom du fabricant), vous permettant de reconfigurer les paramètres TCP/IP, d'injecter des entrées dans la table de routage, etc. à distance, et il existe souvent des moyens de modifier paramètres qui ne peuvent pas être définis dans le panneau de commande. Il est assez banal de brique molle l'appareil.
  • UPnP activé sur l'appareil dans la configuration par défaut, permettant un amusement de configuration à distance plus. Souvent, vous pouvez imprimer des pages de test, réinitialiser le périphérique, réinitialiser les informations d'identification du panneau Web, etc. Encore une fois, il est généralement possible de modifier les paramètres TCP/IP et d'autres propriétés de mise en réseau.
  • Noyaux 2.2.x et 2.4.x très obsolètes, souvent avec beaucoup de trous d'escalade de privilèges root Nice.
  • Scripts de mise à niveau du firmware mal écrits sur le système, vous permettant de flasher un firmware arbitraire sur des microcontrôleurs internes. Vous pouvez l'utiliser pour briquer l'appareil ou installer un rootkit si vous êtes prêt à passer beaucoup de temps à le développer.
  • Personnalisé ou ancien SMB démons, souvent vulnérables au RCE. Facile à pwn à distance.
  • Services exécutés en tant que root, groupes d'utilisateurs mal configurés, autorisations de fichiers mal définies.
  • Les tâches d'impression ont été exécutées de manière asynchrone en exécutant des scripts Shell, ce qui facilite l'escalade de vos privilèges jusqu'à ceux du démon (souvent root).
  • Serveurs FTP mal écrits intégrés à l'appareil. Je parierais beaucoup d'argent qu'un fuzzer pourrait planter la plupart de ces démons FTP.
  • Toutes les applications Web habituelles échouent, mais surtout les vulnérabilités de téléchargement de fichiers.

Voici où les choses deviennent encore plus amusantes. Une fois que vous avez mis l'imprimante sous tension, vous pouvez généralement obtenir des noms d'utilisateur et d'autres informations utiles à partir de SMB poignées de main. Vous constaterez également souvent que le mot de passe du panneau de commande Web de l'imprimante est à nouveau utilisé pour d'autres informations d'identification réseau.

À la fin de la journée, cependant, l'imprimante est une machine interne sur le réseau. Cela signifie que vous pouvez l'utiliser pour tunneliser les attaques vers d'autres machines du réseau. À plusieurs reprises, j'ai réussi à mettre gcc et nmap sur un photocopieur, que j'ai ensuite utilisé comme base d'opérations.

Quelle est la solution? Tout d'abord, vous devez reconnaître que les imprimantes et les photocopieurs sont généralement des ordinateurs à part entière, exécutant souvent Linux embarqué sur un processeur ARM. Deuxièmement, vous devez les verrouiller:

  • Mettez à jour le micrologiciel de l'appareil vers la dernière version.
  • Pare-feu l'imprimante hors d'Internet. Cela devrait être évident, mais c'est souvent manqué. Les imprimantes/photocopieuses TCP/IP se lient généralement à 0.0.0.0, afin qu'ils puissent se faufiler assez facilement sur le WAN.
  • Si vous pouvez faire en sorte que l'imprimante n'écoute que le trafic provenant du LAN, faites-le.
  • Modifiez les informations d'identification par défaut sur le panneau de configuration Web. Encore une fois, c'est évident, mais ce n'est pas encore fait très souvent.
  • Recherchez tous les services en cours d'exécution sur l'appareil et tentez de les pénétrer vous-même. Une fois que vous êtes entré, changez les mots de passe et désactivez ce qui n'est pas nécessaire.
  • Procurez-vous un outil de découverte SNMP et explorez ce qui est disponible pour votre imprimante. SNMP a un peu de courbe d'apprentissage, mais cela vaut la peine d'y jeter un coup d'œil.
  • Si vous effectuez une surveillance du réseau interne, définissez une règle pour surveiller tout événement inhabituel hors l'imprimante. Cela réduit les faux positifs et vous donne une bonne indication du moment où quelque chose de douteux se produit.

Dans l'ensemble, s'il s'agit d'un appareil branché sur votre réseau, il s'agit de probablement pwnable, et devrait faire partie de votre gestion des risques.

146
Polynomial

Le problème majeur ici est que votre imprimante est accessible depuis l'extérieur de votre réseau. J'ai jamais vu une situation où les imprimantes doivent être accessibles de l'extérieur d'un réseau, et je veux dire jamais! Je vous suggère de résoudre ce problème et de toute urgence!

Les imprimantes ont bien plus à offrir que la plupart des gens ne le pensent, mais les risques peuvent être gérés en les mettant à jour, en désactivant les options non sécurisées comme http et en modifiant les mots de passe administrateur.

16
GdD

Souvent, les imprimeurs tiennent des journaux des documents imprimés, contenant parfois des copies des documents eux-mêmes pouvant être téléchargés à distance. Même si les documents eux-mêmes ne sont pas des métadonnées sensibles, il peut parfois y avoir des fuites d'informations comme le nom du serveur de fichiers, l'ordinateur d'où il provient, le nom d'utilisateur ...

8
ewanm89

En règle générale, les imprimantes représentent le risque invisible et non atténué dans de nombreux réseaux. Nous avons tendance à ne pas les considérer comme des ordinateurs, mais le fait est que presque toutes les imprimantes réseau modernes ont un serveur d'impression assez élaboré, exécutant souvent une forme de Linux embarqué, et bien trop souvent avec très peu d'attention à la sécurité. Puisqu'ils ont un micro-contrôleur complet, il est théoriquement possible que presque n'importe quelle attaque qui pourrait être faite avec un ordinateur ou une prise réseau ouverte sur votre réseau puisse également être effectuée à partir de l'imprimante.

En approchant une imprimante directement connectée au Web, je voudrais d'abord demander pourquoi elle doit y vivre au lieu de passer par un autre type de service d'impression pour demander que des documents lui soient mis en file d'attente. S'il y a une raison impérieuse pour qu'il vive à l'extérieur de votre réseau, y a-t-il une raison pour laquelle il doit être autorisé à l'intérieur? S'il est disponible sur Internet, les utilisateurs internes peuvent s'y connecter via Internet, tout comme une personne extérieure au réseau. Cela pourrait également fournir un certain isolement.

6
AJ Henderson

C'est un point d'attaque, donc oui, cela augmente la surface d'attaque de votre réseau. Ce point pourrait être utilisé pour accéder à une autre page Web interne. Peut-être que votre imprimante possède des informations d'identification réseau que vous pouvez voler ou rejouer, etc.

Une attaque simple contre une imprimante consiste à modifier sa configuration pour enregistrer les documents imprimés ou numérisés/faxés localement et les récupérer ultérieurement. L'imprimante en elle-même n'a pas d'importance, ce sont les données auxquelles elle vous donne accès qui comptent.

Il y a de fortes chances que les ports HTTP (S) vous donnent une page Web avec une fenêtre VNC implémentée comme une applet Java (notre imprimante Lexmark le fait). Même si l'imprimante physique nous oblige à présenter notre badge d'accès, une connexion VNC détournera la "session" de quelqu'un qui est localement à l'imprimante, les informations d'identification et tout.

Ce que vous pouvez faire dépend vraiment du type d'imprimante et de la persistance de l'attaque.

3
ixe013

Il s'agit d'une implication physique unique d'une imprimante compromise:

http://it.slashdot.org/story/11/11/29/1752231/printers-could-be-the-next-attack-vector

J'ai utilisé Nessus et j'ai découvert que même les imprimantes avec les fonctionnalités les plus élémentaires que vous trouverez sur les réseaux domestiques ont des vuln comme des informations d'identification par défaut et des ports ouverts à gogo.

3
rutgersmike

Cela semble étrange et vous pourriez avoir un cas pour cela, mais il est rare d'avoir une entreprise besoin pour garder une imprimante accessible en dehors du pare-feu ET du VPN. Maintenant je généralise mais avec une imprimante "avancée":

  • Gardez à l'esprit qu'une "imprimante sécurisée" n'augmente pas les ventes. Il y a probablement très peu d'efforts d'ingénierie pour sécuriser l'imprimante pour commencer.
  • En raison de ce qui précède, le logiciel et le noyau sont probablement plus anciens. c'est-à-dire que leurs failles de sécurité sont déjà connues et publiées
  • Ne le considérez pas comme une "imprimante", c'est essentiellement un serveur exécutant Linux. Linux, vous ne pouvez pas patcher ou durcir facilement
  • Il s'agit essentiellement d'un excellent point de lancement d'attaques plus sophistiquées car cette situation casse très probablement de nombreuses hypothèses de sécurité formulées lors de l'architecture de la politique de sécurité (par exemple: mot de passe FTP correct car aucun renifleur de réseau malveillant). Fake DNS => MITM => tunneling du trafic SSL à l'extérieur.
  • S'il s'agit d'un scanner, de nombreux périphériques mettent en cache les documents numérisés dans le dossier temporaire (de la même manière avec les files d'attente d'imprimante intégrées)
2
DeepSpace101

Je voudrais mentionner un aspect différent de cela - de nombreux fabricants de copieurs/appareils demanderont qu'ils peuvent accéder à l'appareil à distance dans le cadre de leur contact d'assistance. Cela conduit sûrement certaines entreprises à autoriser l'accès directement à l'appareil.

Une meilleure solution consiste à permettre au personnel d'assistance externe de se connecter uniquement à un hôte bastion et de se connecter au copieur/périphérique à partir de là.

1
scuzzy-delta