Question:
Vous attaquez une imprimante de bureau?
hsnm
2012-11-06 22:27:00 UTC
view on stackexchange narkive permalink

J'ai fait une numérisation nmap sur une imprimante de bureau avancée qui possède un nom de domaine et est accessible depuis l'extérieur du réseau de l'entreprise. Étonnamment, j'ai trouvé de nombreux ports ouverts comme http: 80, https: 443 et svrloc: 427 et quelques autres. L'empreinte digitale du système d'exploitation dit quelque part: "... x86_64-unknown-linux-gnu ...", ce qui peut indiquer qu'il s'agit d'une sorte de Linux embarqué exécutant un logiciel serveur pour les fonctionnalités de l'imprimante.

Comment puis-je savoir si cette imprimante augmente la surface d'attaque sur le réseau? Par exemple, peut-il être exploité via une escalade de privilèges distante vul. puis lancer une attaque par tunnel sur d'autres hôtes du réseau?

Vous seriez surpris du plaisir que vous pouvez avoir avec les imprimantes et les photocopieurs;)
@Polynomial Cela me fait peur. J'ai essayé de chercher mais je n'ai pas trouvé beaucoup d'informations utiles. Je dois vérifier ce que mon imprimante est capable de faire pour voir si une attaque relativement dangereuse peut réussir. Je n'ai pas pu trouver beaucoup d'informations sur le système d'exploitation ou les spécifications matérielles de mon imprimante. Permettra-t-il une élévation de privilèges? Exécute-t-il CUPS pour ipp? Je n'en ai aucune idée encore.
Vérifiez également les vulnérabilités dans l'interface Web du fabricant.
Si vous souhaitez un didacticiel pas à pas, reportez-vous au film Office Space.
Cela pourrait aider avec des réponses si vous nous dites pourquoi il doit être accessible de l'extérieur (par exemple, administrateur à distance? Commande automatique de consommables? Impression à distance?)
@GrahamHill Je n'ai pas de réponse à cela et je suis surpris. Cette imprimante est gérée par d'autres administrateurs. J'audite la sécurité du réseau et je ne leur ai pas encore parlé.
Sachez également que la plupart des imprimantes / copieurs / scanners de nos jours stockent des images de ce qui a été imprimé / copié / numérisé dans la mémoire de l'imprimante. Et puisque votre imprimante est accessible en dehors de votre réseau ... Je suis sûr que vous pouvez voir où cela se passe.
@k1DBLITZ C'est pire que ça. Il le stocke généralement sur un système de fichiers temporaire, qui peut même ne pas être un disque virtuel. Souvent, les opérations d'impression sont distribuées par un démon d'impression pour maintenir un fonctionnement asynchrone. Vous constaterez parfois que certaines opérations d'impression ne sont que des scripts shell qui consignent leur état dans un fichier, que le démon lit pour le rapport d'état des travaux.
@Moses Je pensais que cet article concernait Office Space quand je l'ai lu :)
Soyez heureux que ce ne soit pas une imprimante sans fil. Voilà le fléau de mon existence.
@mikebabcock Quels types de problèmes rencontrez-vous avec les imprimantes sans fil?
De nombreuses imprimantes de bureau ont un accès wifi qui permet des vecteurs d'attaque à distance sans options de protection physique. Le sans fil sécurisé est toujours attaquable, tout comme la pile réseau sur l'appareil lui-même, et la probabilité que des mises à jour de sécurité soient à venir est très faible.
Huit réponses:
Polynomial
2012-11-06 23:03:48 UTC
view on stackexchange narkive permalink

Vous pouvez vous amuser sérieusement à jouer avec des imprimantes, des photocopieurs et d’autres appareils similaires, même des onduleurs. La sécurité est généralement une réflexion après coup, au mieux, sinon totalement absente.

Ce que j'ai vu:

  • Les identifiants par défaut sont utilisés partout , et sur le Web des panneaux de configuration basés sur le stockage des mots de passe en texte brut, souvent dans un fichier de configuration généré. Je n'ai jamais rien vu de mieux que le MD5 ordinaire sur les mots de passe, et dans un cas, j'ai vu CRC32.
  • Les noms de documents et les noms d'utilisateur ont été divulgués via SNMP, généralement via un accès en lecture ouvert à l'appareil et via SNMPv1 / 2 où aucune sécurité de transport n'est utilisée.
  • Noms d'espaces de noms privés SNMP par défaut ou extrêmement faibles (généralement «private», «SNMP» ou le nom du fabricant), vous permettant de reconfigurer les paramètres TCP / IP, d'injecter des entrées dans le routage table, etc. à distance, et il existe souvent des moyens de modifier les paramètres qui ne peuvent pas être définis dans le panneau de commande. Il est assez simple de créer une brique souple de l'appareil.
  • UPnP activé sur l'appareil dans la configuration par défaut, permettant une configuration plus amusante à distance. Souvent, vous pouvez imprimer des pages de test, réinitialiser le périphérique, réinitialiser les informations d'identification du panneau Web, etc. Là encore, il est généralement possible de modifier les paramètres TCP / IP et d'autres propriétés de réseau.
  • 2.2.x et 2.4 très obsolètes. Noyaux .x, souvent avec beaucoup de bons trous d'escalade de privilèges root.
  • Scripts de mise à jour de firmware mal écrits sur le système, vous permettant de flasher un firmware arbitraire sur des microcontrôleurs internes. Vous pouvez l'utiliser pour brique le périphérique ou installer un rootkit si vous êtes prêt à passer beaucoup de temps à le développer.
  • Démons SMB personnalisés ou anciens, souvent vulnérables à RCE. Facile à pwn à distance.
  • Services fonctionnant en tant que root, groupes d'utilisateurs mal configurés, autorisations de fichier mal définies.
  • Les travaux d'impression se sont exécutés de manière asynchrone en exécutant des scripts shell, ce qui facilite la remontée de votre privilèges allant jusqu'à celui du démon (souvent root).
  • Serveurs FTP mal écrits intégrés à l'appareil. Je parierais bien qu'un fuzzer pourrait planter la plupart de ces démons FTP.
  • Toutes les applications Web habituelles échouent, mais surtout les vulnérabilités de téléchargement de fichiers.

Voici où les choses deviennent plus amusantes. Une fois que vous avez installé l'imprimante, vous pouvez généralement obtenir les noms d'utilisateur et d'autres informations juteuses à partir des poignées de main SMB. Vous constaterez également souvent que le mot de passe du panneau de commande Web de l'imprimante est réutilisé pour d'autres informations d'identification réseau.

En fin de compte, cependant, l'imprimante est une machine interne sur le réseau. Cela signifie que vous pouvez l'utiliser pour canaliser des attaques vers d'autres machines sur le réseau. À plusieurs reprises, j'ai réussi à mettre gcc et nmap sur un photocopieur, que j'ai ensuite utilisé comme base d'opérations.

Quelle est la solution? Tout d'abord, vous devez reconnaître que les imprimantes et les photocopieurs sont généralement des ordinateurs à part entière, exécutant souvent Linux embarqué sur un processeur ARM. Deuxièmement, vous devez les verrouiller:

  • Mettez à jour le micrologiciel de l'appareil avec la dernière version.
  • Pare-feu de l'imprimante depuis Internet. Cela devrait être évident, mais c'est souvent manqué. Les imprimantes / photocopieurs basés sur TCP / IP se lient généralement à 0.0.0.0 , ils peuvent donc facilement se faufiler sur le WAN.
  • Si vous pouvez faire en sorte que l'imprimante n'écoute que le trafic provenant le LAN, faites-le.
  • Modifiez les informations d'identification par défaut sur le panneau de configuration Web. Encore une fois, c'est évident, mais ce n'est toujours pas fait très souvent.
  • Recherchez les services exécutés sur l'appareil et essayez de les pénétrer vous-même. Une fois que vous y êtes, changez les mots de passe et désactivez ce qui est inutile.
  • Procurez-vous un outil de découverte SNMP et explorez ce qui est disponible pour votre imprimante. SNMP a un peu une courbe d'apprentissage, mais cela vaut la peine d'y jeter un coup d'œil.
  • Si vous effectuez une surveillance du réseau interne, définissez une règle pour surveiller tout élément inhabituel venant de de l'imprimante. Cela réduit les faux positifs et vous donne une bonne indication du moment où quelque chose de douteux se produit.

Dans l'ensemble, si c'est un appareil branché sur votre réseau, c'est probablement pwnable, et devrait faire partie de votre gestion des risques.

Réponse très complète. Je vais lire ceci attentivement et voir ce qui est possible de mon côté. J'aime le fait qu'ils utilisent peut-être de très vieux noyaux avec suffisamment de trous de sécurité pour donner une élévation de privilèges à distance et lancer facilement une attaque par tunnel.
Il est très utile de placer des périphériques avec des processeurs intégrés comme celui-ci sur un commutateur intelligent afin que vous puissiez désigner le trafic autorisé à entrer et à sortir par port.
@mikebabcock le problème est d'identifier quel est le trafic légitime?
@hsnm Pas trop difficile pour les choses évidentes - votre imprimante devrait-elle être autorisée à initier des connexions TCP sortantes? Votre imprimante doit-elle être autorisée à effectuer des requêtes DNS? Avez-vous vraiment besoin d'autoriser le trafic UPnP et SNMP pour y accéder?
@hsnm comme l'indique polynôme, la meilleure politique est souvent d'autoriser le 515/9100 lié pour l'impression, et aucune connexion initiée par l'imprimante du tout. Cela empêche une imprimante enracinée d'être utilisée pour attaquer d'autres périphériques, même si cela n'empêche pas d'enraciner l'imprimante.
@mikebabcock Gardez à l'esprit que certaines imprimantes n'utilisent pas 9100, vous n'aurez donc peut-être pas besoin d'autre chose que 515. Bien sûr, vous devrez peut-être également autoriser temporairement les connexions entrantes au port 80 si vous modifiez les paramètres de l'imprimante.
@Polynomial Je n'étais pas exhaustif ou exclusif, je ne donnais qu'un exemple, mais oui. Techniquement, la barre oblique indique «ou» signifiant 515 ou 9100, pas les deux. Dans 99% des cas pour moi, je limite l'accès au port 515 s'il est disponible car il fournit de toute façon un meilleur protocole.
+1 pour une excellente réponse, même si je pense que vous avez oublié un autre aspect, plus physique (certes pas dans le cadre de la question du PO, je suppose). La plupart des imprimantes ont des disques durs, accessibles via leurs interfaces d'entrée ou simplement retirés et volés. Pourquoi prendre la peine d'écouter les communications de l'imprimante alors que vous pouvez simplement la laisser reposer pendant quelques semaines et récupérer le disque entier pour obtenir tous les documents mis en cache? Facile.
@haylem Je ne dirais pas que * la plupart * des imprimantes en ont. La plupart de ceux que je rencontre n'ont pas de stockage non volatile en dehors de la petite EEPROM utilisée pour stocker les paramètres et le micrologiciel, qui est généralement soudé sur la carte. Les photocopieurs plus modernes ont tendance à avoir un petit disque dur (au moins 5 Go généralement) ou une EEPROM beaucoup plus grande qui stocke le système de fichiers monté.
@Polynomial: Je dirais que la plupart des imprimantes * de bureau * en ont cependant. Peut-être que je fais une hypothèse sur la taille des bureaux.
@haylem La plupart de nos imprimantes "bureautiques" ne sont que des imprimantes laser ou à jet d'encre standard standard du marché, elles ne sont donc pas vraiment des imprimantes à la pointe de la technologie. Nous avons cependant un photocopieur avec stockage interne.
J'ai envie de jeter mon imprimante par la fenêtre après avoir lu ceci.
+1 pour «* sérieux * amusant».Une fois, j'ai entendu l'histoire d'une imprimante qui avait un bug où les rouleaux tournaient au régime maximum et enflammeraient la poussière de papier + le papier dans la machine, provoquant un incendie.Si vous pouvez modifier le micrologiciel, vous pourriez éventuellement provoquer cela intentionnellement.
GdD
2012-11-06 23:12:54 UTC
view on stackexchange narkive permalink

Le problème majeur ici est que votre imprimante est accessible depuis l'extérieur de votre réseau. Je n'ai jamais vu de situation où les imprimantes doivent être accessibles de l'extérieur d'un réseau, et je veux dire jamais! Je vous suggère de résoudre ce problème, et de toute urgence!

Les imprimantes ont plus à offrir que ce que la plupart des gens réalisent, mais les risques peuvent être gérés en les mettant à jour, en désactivant les options non sécurisées comme http et en modifiant l'administrateur mots de passe.

Cela s'applique également aux serveurs d'impression, qui ont l'habitude d'être accessibles sur le Web.
ewanm89
2012-11-06 22:58:35 UTC
view on stackexchange narkive permalink

Les imprimeurs conservent souvent des journaux de documents imprimés, contenant parfois des copies des documents eux-mêmes pouvant être téléchargés à distance. Même si les documents eux-mêmes ne sont pas des métadonnées sensibles, des informations comme le nom du serveur de fichiers, l'ordinateur à partir duquel elles ont été envoyées, le nom d'utilisateur ...

AJ Henderson
2012-11-06 22:53:32 UTC
view on stackexchange narkive permalink

En général, les imprimantes représentent un risque invisible et absolu dans de nombreux réseaux. Nous avons tendance à ne pas les considérer comme des ordinateurs, mais le fait est que presque toutes les imprimantes réseau modernes ont un serveur d'impression assez élaboré, exécutant souvent une forme de Linux embarqué, et bien trop souvent avec très peu de réflexion sur la sécurité. Puisqu'ils contiennent un microcontrôleur complet, il est théoriquement possible que n'importe quelle attaque pouvant être effectuée avec un ordinateur ou une prise réseau ouverte sur votre réseau puisse également être effectuée à partir de l'imprimante.

En abordant une imprimante directement connectée au Web, je voudrais d'abord demander pourquoi elle doit y vivre au lieu de passer par un autre type de service d'impression pour demander que les documents y soient mis en file d'attente. S'il y a une raison impérieuse pour qu'il vive à l'extérieur de votre réseau, y a-t-il une raison pour laquelle il doit être autorisé à l'intérieur? S'il est disponible sur Internet, les utilisateurs internes peuvent s'y connecter via Internet, tout comme quelqu'un en dehors du réseau. Cela pourrait également fournir un certain isolement.

ixe013
2012-11-06 22:39:11 UTC
view on stackexchange narkive permalink

C'est un point d'attaque, donc oui, cela augmente la surface d'attaque de votre réseau. Ce point pourrait être utilisé pour accéder à une autre page Web interne. Peut-être que votre imprimante a des identifiants réseau que vous pourriez voler ou rejouer, etc.

Une simple attaque contre une imprimante consiste à modifier sa configuration pour enregistrer les documents imprimés ou numérisés / télécopiés localement et les récupérer plus tard. L'imprimante en elle-même n'est pas pertinente, ce sont les données auxquelles elle vous donne accès qui comptent.

Il est probable que les ports HTTP (S) vous donneront une page Web avec une fenêtre VNC implémentée sous forme d'applet Java ( notre imprimante Lexmark le fait). Même si l'imprimante physique nous oblige à présenter notre badge d'accès, une connexion VNC détournera la "session" de quelqu'un qui est localement à l'imprimante, les informations d'identification et tout.

Ce que vous pouvez faire dépend vraiment de la le type d'imprimante et la persistance de l'attaque.

Merci d'avoir répondu. Ce que vous décrivez est bon pour un attaquant qui veut abuser de l'imprimante elle-même. Je suis particulièrement intéressé de voir comment un attaquant peut utiliser l'imprimante comme un saut pour attaquer d'autres machines. C'est très important à ce stade.
rutgersmike
2012-11-07 04:16:44 UTC
view on stackexchange narkive permalink

Il s'agit d'une implication physique unique d'une imprimante compromise:

http://it.slashdot.org/story/11/11/29/1752231/printers-could-be -the-next-attack-vector

J'ai utilisé Nessus et j'ai découvert que même les imprimantes avec les fonctionnalités les plus basiques que vous trouverez sur les réseaux domestiques ont des vulnérabilités comme les informations d'identification par défaut et les ports ouverts à gogo.

DeepSpace101
2012-11-07 09:03:05 UTC
view on stackexchange narkive permalink

Cela semble étrange et vous pourriez avoir des arguments en faveur de cela, mais il est rare qu'une entreprise ait besoin de garder une imprimante accessible en dehors du pare-feu ET du VPN. Maintenant, je généralise mais avec une imprimante "avancée":

  • Gardez à l'esprit qu'une "imprimante sécurisée" n'augmente pas les ventes. Il y a probablement très peu d'efforts d'ingénierie pour sécuriser l'imprimante au départ.
  • En raison de ce qui précède, le logiciel et le noyau sont probablement plus anciens. c'est-à-dire que leurs vulnérabilités de sécurité sont déjà connues et publiées
  • Ne le considérez pas comme une «imprimante», c'est essentiellement un serveur exécutant Linux. Linux que vous ne pouvez pas patcher ou durcir facilement
  • C'est essentiellement un excellent point de départ pour des attaques plus sophistiquées, car cette situation rompt probablement de nombreuses hypothèses de sécurité formulées lors de la conception de la politique de sécurité ( par exemple: mot de passe FTP ok car aucun renifleur de réseau malveillant). Faking DNS => MITM => tunneling du trafic SSL à l'extérieur.
  • S'il s'agit d'un scanner, de nombreux périphériques mettent en cache les documents numérisés dans le dossier temporaire (de la même manière avec les files d'attente d'imprimante dans le périphérique)
scuzzy-delta
2012-11-07 04:17:03 UTC
view on stackexchange narkive permalink

Je voudrais mentionner un aspect différent à ce sujet: de nombreux fabricants de copieurs / appareils demanderont à pouvoir accéder à l'appareil à distance dans le cadre de leur contact d'assistance. Cela conduit sûrement certaines entreprises à autoriser l'accès directement à l'appareil.

Une meilleure solution consiste à permettre au personnel d'assistance externe de se connecter uniquement à un hôte bastion, et de se connecter au copieur / périphérique à partir de là.

vrai .. mais surcoût et frais généraux de maintenance.
D'accord, mais pour la plupart des entreprises, il serait prudent et raisonnablement faisable d'introduire cette mesure.
Vous pouvez également ajouter le bloc réseau IP du fabricant à la liste blanche et désactiver le pare-feu.
@Polynomial J'ai l'impression que même si l'imprimante n'est pas accessible en dehors du réseau, c'est toujours un vecteur d'attaque sur le réseau. Cela pourrait offrir plus d'opportunités si vous lancez une attaque multi-hop en passant par l'imprimante. Par exemple, un attaquant peut faire entrer un ordinateur portable et se connecter au réseau sans fil (le cas échéant), puis se rendre à d'autres endroits via l'imprimante.
@hsnm C'est vrai, mais les imprimantes sont essentielles pour la plupart des entreprises.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...