Explorando impressoras corporativas

criptografiaA exploração de vulnerabilidades em impressoras é um problema grave, semelhante ao enfrentado com computadores e outros dispositivos com disco rígido, uma vez que eles também estão conectados à rede. Hoje em dia, a maioria dos escritórios de empresas ou organizações têm um grande número de impressoras dentro de seu prédio, imprimindo informações sensíveis que podem ser roubadas e exploradas. Nos tempos antigos, impressoras só tinham a função para imprimir os dados solicitados. Como a tecnologia se desenvolveu, novas impressoras foram criadas com memória embutida e vários recursos de segurança.

Essa exploração de vulnerabilidades resultou em aumento de espionagem corporativa e coleta de informação altamente sensível. A última pesquisa mostra que mais de dois terços das empresas líderes usam aplicações de impressão 3D. O avanço da tecnologia levou a uma grande melhora nas impressoras, que tem muitas vantagens, mas também tem vários lados obscuros. Organizações empresariais utilizam impressoras que vão desde impressoras offset, digitais até impressoras 3D. Estas impressoras instaladas em redes de empresas não têm segurança por padrão. O pior caso é que a maioria das multifuncionais fornecem acesso administrativo completo até que o administrador da rede a reconfigure de vez em quando. Isso resulta em graves ameaças e uso indevido de dados, criando uma plataforma para atacar todos os sistemas conectados à rede. Portanto, as impressoras multifuncionais inseguras criam uma ameaça que pode ser utilizada por espiões ou invasores.

Impressoras multifuncionais

Uma multifuncional é um dispositivo que pode proporcionar as funções de vários outros. Ela é usada em casa, em uma empresa de pequena escala ou em uma empresa corporativa em grande escala. A multifuncional típica é uma mistura de vários dispositivos, como um fax, e-mail, copiadora, scanner e impressora.

As multifuncionais são divididas em dois tipos: a jato de tinta, que são excepcionais na criação de gráficos de alta qualidade a cores e a laser, que possui excelência em impressão de grandes quantidades de documentos. Elas são também divididas em vários segmentos. Dependendo dos recursos oferecidos, existem quatro tipos: (i) All-in-one para um pequeno escritório; (ii) SOHO MFP para uma grande área de trabalho em um pequeno escritório; (iii) MFP para escritório para um sistema de escritório central; (iv) produção, no qual é um dispositivo MFP – departamento de impressão reprográfico.

As multifuncionais contêm muitos recursos, como SDK, painéis LCD avançados com mouse óptico e teclado, suporte a redes sem fio, suporte ao IPv6, capacidade de armazenamento (HDD), suporte ao Active Directory, suporte SNMP, recursos de edição, recursos de acabamento, fax, encaminhamento para e-mail (via SMTP), capacidade de fax de cor, resolução DPI, impressão direta de etiquetas de CD / DVD, alimentador automático de documentos (ADF), segurança de documentos digitalizados, telefone sem fio, TCP / métodos de fax sobre IP, secretária eletrônica e muito mais.

Arquitetura interna

Equipamento: RAM, processador, copiadora digital, armazenamento de memória, memória flash ou disco rígido.
Software: Elas funcionam com um sistema operacional tal como um PC: Linux, VxWorks, Windows (NT 4.0 embutido e XP embutido). Estes softwares gerenciam funções, tais como clientes de serviços de rede e servidores, processamento e conversão de imagens, gerenciamento remoto de servidor Web, processamento de imagem raster, hospedagem interna de aplicativos de terceiros por intérpretes Bytecode ou máquinas virtuais, configuração e administração de dispositivos, imagens de documentos e gestão, seleção de modo de entrada, monitoramento dos recursos, etc.

Conexão de impressoras a uma rede

Conexões normais:

O uso de impressoras que tenham em sua configuração capacidades de rede:

Como você sabe, as impressoras podem ser instaladas de forma muito fácil, seja por cabo ou via rede sem fio. O processo de configuração é diferente para cada impressora de rede. Impressoras de rede podem ser acessadas através de um servidor DHCP ou rede de endereçamento estático. Endereçamento estático é usado principalmente em pequenos escritórios, enquanto o endereçamento dinâmico ajuda a resolver automaticamente cada rede em grandes escritórios corporativos. Após a configuração das estações de trabalho, conexões diretas podem ser feitas. Por exemplo: No Windows, selecione Painel de controle> Dispositivos e Impressoras> Adicionar assistente de impressora, em seguida, comece a busca por impressoras.

Conectar impressoras do servidor de impressão ou na estação de trabalho:

Estes processos incluem impressoras que não têm configurações de rede de fábrica. Impressoras de rede não podem ser acessadas através de portas USB no servidor e também através de uma porta paralela que está conectada à rede em outra porta. A configuração do servidor depende dos recursos disponíveis e da complexidade do dispositivo. A vantagem deste tipo de impressora é que após a configuração parece semelhante à das impressoras de rede para a estação de trabalho.

Conectar-se a estação de trabalho de um computador para compartilhar com outros usuários:

Outra maneira de se conectar impressoras a uma estação de trabalho do computador é através do compartilhamento pela rede. Sua vantagem é que ele pode ser facilmente acessado pelo dispositivo existente e sua desvantagem é que, mesmo se a estação de trabalho principal for desligado, os outros vão ter conectividade com as impressoras, que podem ser consideradas como vulneráveis em alguns casos.

Como acontecem os ataques a impressoras?

As impressoras são mais vulneráveis a ataques porque a maioria das empresas dão importância apenas para a segurança do PC seus escritórios. Mas a verdade é que a maioria dos dados altamente sensíveis armazenados em PCs quando impressos são armazenados em impressoras que podem ser exploradas para reproduzir as impressões. Os ataques podem ser feito de diferentes maneiras. Alguns delas estão listadas abaixo:

Contorno dos processos de autenticação:

Muitas das multifuncionais em ambientes corporativos tem mecanismos de autenticação para controlar os usuários que vão acessar o dispositivo. Assim, cada empresa pode manter um registro de funcionários usando a impressora. Eles têm de fazer login com suas credenciais para desbloquear a multifuncional para usá-la, ou seja, com uma chave RFID, impressão digital, etc. Mas a maioria destes pode ser ignorada pelo acesso à rede da multifuncional, permitindo que invasores ignorem a segurança e imprimam as informações.

Trabalho atribuído aos usuários do sistema:

Um invasor pode tirar vantagem das vulnerabilidades existentes na impressora e pode modificar os dados pré definidos na impressora. As permissões atribuídas a diferentes usuários podem ser diferentes. Essa informação poderia ser editada, dependendo da exigência do invasor.

Dispositivos pessoais com sistema operacional:

A mistura de aplicativos móveis, tecnologia de impressão em nuvem, e penetração contínua de dispositivos pessoais com sistema operacional nas empresas torna fácil a vida dos invasores. Um intruso poderia desenvolver um malware para tal dispositivo, que poderia ser usado para obter o acesso as impressoras ligadas em rede. Depois de obter o acesso, a totalidade da rede pode ser facilmente invadida.

SQL injection:

É um tipo de ataque em que o spyware SQL é instalado no firmware pelo atacante. O uso continuo de muitos recursos baseados na web ou aplicativos pode levar a um ataque de phishing, através do qual o atacante implanta malwares para o local desejado. O nível de ameaça da impressora é o mesmo que o de um PC. Qualquer pessoa pode acessar uma multifuncional fisicamente ou eletronicamente se eles não estão bem controlados ou protegidos, o que leva a vazamento de informações.

Negação de serviço:

A quantidade de dados a serem impressos varia de acordo com o pedido feito pelo usuário. Uma vez que estes são processadas através das redes em MNC, através do aumento do tráfego nessas redes um invasor pode derrubar o dispositivo. O grande número de pedidos feito pelo intruso pode ser um pouco difícil de lidar. Isto pode resultar no mau funcionamento da impressora.

Comissionamento do dispositivo:

A maioria das empresas corporativos lidam com uma grande quantidade de integração de informações e unidades de disco. Acesso a partir de pessoal não autorizado dá informação sensível que é revelado pela varredura.

Sniffer de rede:

Um chip pode ser substituído na placa de circuito da impressora e também pela modificação do firmware. Ele pode ser conectado a uma porta de rede de multifuncionais, que podem ser usadas para armazenar informações ou pacotes de dados.

Ataque HTTP:

Estes serviços de gestão têm vários problemas de segurança documentados. O Cross-site scripting (XSS) engana o usuário a conectar ao servidor web da impressora, mas, na verdade, está se comunicando com o invasor.

Ataque PJL:

A linguagem da impressora envia informações de status de impressoras para uma aplicação. Ela controla o sistema de arquivos junto com as configurações da impressora, que pode ser invadida facilmente por ataque de força bruta. Muitas ferramentas de invasores também estão disponíveis para conceder acesso total ao sistema, alterando as configurações.

Ataque FTP:

Servidores FTP anônimos são usados para iniciar os trabalhos de impressão em multifuncionais. FTP fornece encaminhamento de FTP passivo, tornando-o vulnerável. Isso nos ajuda a usá-lo como um servidor proxy, que permitem a ocultação de endereço IP do atacante, tornando-se indetectável.

Ataque SNMP:

A maioria das multifuncionais tem acesso backdoor de administrador. Os atacantes podem acessar através de uma senha padrão por SNMP (Simple Network Management Protocol), armazenado na variável SNMP de onde qualquer pessoa poderia acessar caso saibam sua localização variável ou endereço do MFP.

Medidas de segurança e proteção:

A configuração da impressora varia de acordo com diferentes modelos, juntamente como sua características, mas as medidas de segurança são quase semelhantes para todos. E várias delas podem (e devem) ser tomadas para reforçar a segurança. Estas podem ser divididas em três: gerenciamento remoto seguro de multifuncionais, interfaces de rede da impressora seguros e acesso seguro de dados.

Passos para garantir a segurança das impressoras:

  • Configure de acordo com a política padrão e de redefinição de senha segura;
  • Proteja a rede com firewalls eficientes;
  • Permita comunicações somente com redes e hosts confiáveis;
  • Atualiza regularmente o firmware da impressoras;
  • Ferramentas disponíveis, tais como ferramentas digitais de gestão, devem ser utilizadas para proteger os dados e informações confidenciais contra perda ou roubo;
  • Incluir MFPs nas políticas e regulamentos padrão;
  • Protocolos não utilizados ou serviços devem ser desligados. Use também opções seguras de impressão, se disponíveis;
  • A utilização de lista de controle de acesso (ACL) no produto pode restringir o uso a um conjunto pré-definido de clientes;
  • Mude a senha da impressora de rede e transmissão em texto claro pela rede;
  • Use o método de whitelisting para permitir software direto do dispositivo integrado;
  • Permita que todos os serviços de acesso remoto ativado criem senhas fortes;
  • Ative o SSL para gerenciamento de rede, para criptografar o transporte de dados de rede;
  • Configure o syslog, para suportae o registro remoto através da ligação à rede da segurança do servidor ou servidor de monitoramento departamental;
  • Mude o string de comunidade padrão;
  • Permita o envio de logs de autenticação;
  • Utilize serviços com controle remoto, como FTP;
  • Integre o log de auditoria com o monitoramento pelo sistema de detecção de intrusão, obtendo potenciais riscos em tempo real;
  • Use apenas firmware assinado digitalmente por fornecedores;
  • Use SNMPv3 para componentes de criptografia de dados com extensas capacidades seguras para gerenciamento remoto;
  • Use de NTP para a sincronização do relógio;
  • Conexão TCP e filtragem de porta;
  • Controladores de tráfego de rede para criptografia e autenticação;
  • TLS para proteger LDAP;
  • Inserção automática de endereços de e-mail, causando a erradicação de e-mails anônimos;
  • Impressão confidencial irá ajudar a remover os trabalhos de impressão na memória RAM após um conjunto de tempo decorrido;
  • Criptografia de disco rígido com a chave AES e suporte a bloqueio físico;
  • A memória não volátil ajuda a limpar memória flash;
  • Verifique a segurança da transmissão de dados em todo o fluxo de trabalho.

Passos comuns para a invasão de impressoras de rede

Na maioria das impressoras, quando digitamos o endereço http: // ip-da-impressora:9100, nenhum site será exibido, mas sim uma impressão. É solicitado um pedido de acesso a raiz por HTTPS. Isto dá acesso ao display LCD, através do qual o atacante entra. Sem necessidade de quaisquer ferramentas ou código de acesso. Para acessar através de telnet: telnet 192.169.1.2 9100. NetCAT acessando: por exemplo, ecoPJL RDYMSG DISP = ‘Texto’ netcat -q 0 192.168.1.2 9100.

O próximo passo é obter a senha, já que ambos telnet e a senha do dispositivo usado são semelhantes para o software juntamente com interface web. Todas as senhas digitadas são registradas no Registro quando você usá-lo, então sniffing ferramentas e um ataque de força bruta ajuda para obter a senha de registro da impressora. Vulnerabilidade SNMP também permite obter a senha apenas interferindo o nome da comunidade da rede.

Muitas das impressoras em uma rede podem ser encontradas por ferramentas Nmap e SNMP através de uma varredura UDP. Impressoras também podem ser obtida através da Internet, uma vez que a maioria dos administradores armazenam dados em uma intranet. Mensagens de spam também podem ser usadas para acessar os dados, com ferramentas no Windows e Linux. As impressoras de rede são facilmente exploráveis ​​para obter acesso não autorizado a dados utilizando configurações de PIN Wi-Fi.

Conclusão:

O tema da segurança em impressora de rede é realmente um problema em escritórios de empresas ou organizações em desenvolvimento. Há muitas vulnerabilidades, ameaças ou riscos, mas apenas um pequeno número de medidas de segurança. O método eficiente é fornecer, avaliar ou analisar as ameaças críticas das organizações empresariais e enfrentá-las de acordo com o risco. Por isso, é necessário considerar a segurança de impressora como a de PC, uma vez que ambos têm grandes quantidades de dados e informações sensíveis.

Acesse o conteúdo original (em inglês) no link.