Цель этой статьи — продемонстрировать реальную необходимость комплексного подхода к безопасности на примере конкретной «живой» уязвимости. Если при анализе инфраструктуры и оценке рисков сотрудники департамента ИБ будут ориентироваться исключительно на известные тренды, они рискуют совершить серьезную ошибку. Концентрируясь на контроле сетевого оборудования, серверов и рабочих станций, они зачастую не уделяют должного внимания защищенности сетевых принтеров и МФУ. Обычно вопросы настройки и сопрово­ждения офисной оргтехники ложатся на плечи системных администраторов или Help Desk. Таким образом, фактически данный класс устройств выпадает из поля зрения «безопасников».

А ведь современный сетевой принтер является полноценным сервером, обладающим своей внутренней памятью, сетевым интерфейсом, встроенной ОС и службами, функционирующими на данном хосте. С точки зрения атакующего, сетевые принтеры и МФУ представляют для него практический интерес, потому как в определенных условиях «умная» сетевая оргтехника может стать незакрытой лазейкой даже в самой защищенной инфраструктуре.

Рассмотрим возможные сценарии использования скомпрометированного принтера, чтобы понять, каким образом защищаться от подобных атак.

Как найти незащищенный принтер?

Выполнив специально сконструированный поисковый запрос, любой желающий может получить обширный список сетевых принтеров, которые из-за ошибок администраторов различных компаний со всего земного шара оказались в публичном доступе в сети Интернет. Справедливости ради, стоит отметить, что не все ссылки, полученные таким образом, обязательно приведут к «админке» принтера, однако большая часть поисковой выдачи актуальна и пригодна для начала проникновения. Кроме того, сам по себе данный тип запроса был хорошо известен ранее и использовался, по меньшей мере, с 2004-го года.

Акцентирую внимание читателей на том факте, что кто угодно, используя лишь компьютер, подключенный к интернету, не обладая специфическими знаниями или специальным оборудованием, может беспрепятственно получить доступ (в обход различных защитных систем, которые наверняка присутствуют на границе сети) к принтеру/МФУ, установленному внутри организации, которая может находиться где угодно.

 Для нас, прежде всего, важен тот факт, что это «живая» уязвимость, которая не исчезнет ни за день, ни за месяц, по причине того, что тут замешаны тысячи принтеров различных компаний по всему миру, которые «просто забыли» изолировать от сети Интернет. Такие компании могут стать потенциальными жертвами злоумышленников, которые, прочитав в СМИ об этом «волшебном» запросе, могут просто забавы ради проверить работоспособность данного метода. 

Как злоумышленник может воспользоваться данным списком?

После получения доступа к сетевому принтеру у кибермошенника есть несколько вариантов. Самый простой вариант — заставить принтер-жертву что-либо напечатать, начиная с классики вроде «Война и Мир» Льва Толстого, что явным образом скажется как на уровне тонера так и на запасах бумаги; и заканчивая чем-то сюрреалистичным, в духе Дали, что наверняка найдет живой отклик у сотрудников, которые обнаружат распечатанные репродукции. 

Все это возможно, поскольку большинство моделей принтеров позволяет при гостевом доступе обеспечивать распечатку документов, загружаемых через веб-интерфейс. Кроме того, атакующий может банально подключить принтер к своей системе по 1Р-адресу. Однако распечатка шедевров мировой литературы и искусства — все это мелкое сетевое хулиганство, в сравнении с тем, что еще можно получить от «забытого» сетевого принтера.

Большая опасность кроется в том, что многие модели принтеров различных производителей поддерживают недокументированный функционал по удаленному обновлению прошивки. Причем зачастую данное действие не вызывает обязательного запроса административного пароля. Ситуация усугубляется еще и тем, что администраторы часто забывают сменить заводской пароль принтера, который можно легко найти на просторах Интернета.

Таким образом, имея на руках целый список таких «доступных» принтеров, злоумышленник уже знает 1Р-адрес и точную модель принтера. Все, что остается сделать — найти в Интернет заводской пароль по умолчанию или выполнить обновление оригинальной прошивки специально модифицированной версией.

Что из этого может получиться — было наглядно продемонстрировано еще в 2011-м году, когда группа исследователей по информационной безопасности из Колумбийского университета показала результаты работы принтеров HP с модифицированными прошивками. Так, один из вариантов модификаций прошивки предполагал автоматическое дублирование всех поставленных на печать заданий на указанный злоумышленником email- адрес. Другая модификация прошивки вводила устройство в бесконечный цикл, за счет чего осуществлялся перегрев термоэлемента, что могло привести к возгоранию принтера. 

За реальным примером успешной атаки с использованием принтера далеко ходить не нужно — достаточно вспомнить нашумевшую историю с взломом серверов Climatic Research Unit в 2009-м году, благодаря которому были получены данные о подтасовках научной информации, относящейся к теории «глобального потепления». Для нас, прежде всего, важна техническая сторона акции — чтобы получить доступ к серверам и скомпрометировать хорошо защищенную сетевую инфраструктуру, атакующие сосредоточили свои силы на компрометации МФУ.

Таким образом, некорректно сконфигурированные сетевые принтеры/ МФУ, «брошенные на произвол судьбы», являются слабым звеном в любой, даже достаточно защищенной инфраструктуре и могут стать легкой добычей для злоумышленников. Задача усложняется еще и тем, что современные модели печатных устройств ничем не отличаются от выделенного сервера — они обладают своей ОС, под управлением которой работают различные сетевые службы (FTP, Web, NFS). Зачастую их реализация выполнена весьма примитивно, а сами сервисы являются устаревшими версиями, что таит в себе много незакрытых уязвимостей. Кроме того, большинство современных принтеров и МФУ корпоративного уровня используют жесткие диски для хранения выполняемых заданий или отсканированных документов.

Что первым делом сделает злоумышленник, получив контроль над таким устройством? Скорее всего, он попытается вытащить (и с большой долей вероятности это у него получится) из внутренней памяти принтера документы, которые сотрудники фирмы отправляли на него годами. Гигабайты документов — это шикарный подарок для промышленного шпионажа или пентестера.

К тому же, получение несанкционированного доступа к данным, хранящимся в памяти принтера/МФУ, в ряде случаев пройдет совершенно незамеченным для DLP системы (на внедрение которой, между прочим, были выделены немалые средства). Съем информации непосредственно из скомпрометированного принтера также может быть использован для обхода систем криптографической защиты данных.

Представьте себе вполне реальный сценарий развития событий — компания- заказчик внедряет у себя комплексную систему шифрования, которая должна обеспечить высокий уровень защиты конфиденциальной информации. А что будет с данными, если известно, что документы отправляются на печать в уже расшифрованном виде? Отсюда следует очевидный вывод: если вовремя не обратить внимание на забытого трудягу-принтер, он может внезапно превратиться в реальную угрозу, которая позволит атакующему обойти различные системы защиты.

Отмечу, что благодаря халатности администраторов, которые могут некорректно настроить само устройство, допустить ошибку в конфигурации брандмауэра или же забыть сменить заводской пароль; а также, благодаря недоработкам со стороны производителей, получение контроля над «бесхозным» общедоступным принтером для подготовленного специалиста в большинстве случаев не представляет большой сложности. А если посчитать количество принтеров/МФУ в крупных организациях, то становится ясным, что безопасность оргтехники уже не являетсямелочью. Ведь потенциально, любой из принтеров может оказаться источником атаки или утечки информации.

Методика защиты 

Рассмотрим варианты обеспечения защиты сетевых принтеров/МФУ. Наверняка, опытные ИТ-специалисты, находясь еще на «экваторе» статьи, уже сформулировали для себя очевидное решение: «отделить печатающие устройства от сети Интернет и сменить заводской пароль». Может ли такой подход гарантировать неприкосновенность использующейся у вас оргтехники? Мой ответ — «нет».

Дело в том, что в больших компаниях, с распределенной структурой сети, процесс реконфигурирования как самих принтеров, так и сетевого оборудования может длиться месяцами, если не годами. Все это время, пока не будет перенастроен последний принтер, через который злоумышленники могут получить доступ в локальную сеть, компания будет потенциально уязвима.

Кроме затягивания сроков, метод решения проблемы «в лоб» не защитит устройства от атаки трояном изнутри сети, а главное — не исправит одну из основных потенциальных уязвимостей — перепрошивку устройства без запроса административного пароля.

Комплексным и, соответственно, более правильным, вариантом устранения уязвимостей такого рода, является  применение связки защитных систем. Одиночное решение, будь то брандмауэр или IPS-система, не способно в полной мере обеспечить безопасность всех бизнес-процессов, в которых используются высокие технологии и их производные. К тому же, применение одного решения не позволит получить четкой картины по рискам и реальному уровню защищенности инфраструктуры. 

Возвращаясь к теме сетевых принтеров, хотелось бы отметить, что эффективное противодействие атакам, направленным на «умную» оргтехнику, возможно лишь с использованием комплекса, состоящего  как минимум из сканера уязвимостей и системы предотвращения вторжений. Для «усиления» контроля сюда также можно добавить решение, которое бы обеспечивало блокировку попыток выполнения «недоверенного» кода на самих устройствах. В этом случае мы существенно расширяем защитный «фундамент», ведь защита может быть распространена не только на печатные устройства, но и на другие классы оборудования, в том числе серверы и рабочие станции. Конечно, можно внедрить решения от различных вендоров, но наиболее целостную защиту мы получим, если будем использовать продукты одного производителя, который поддерживает прозрачную интеграцию различных систем в единый комплекс. 

Рассмотрим комплекс защиты от компрометации сетевых принтеров/ МФУ на примере решений McAfee. Наличие IPS-системы позволит отклонять попытки подключений (как снаружи, так и изнутри) к сетевому оборудованию с использованием паролей по умолчанию. Такие запросы даже не будут обрабатываться, они будут попросту отброшены. Первый рубеж обороны выстроен — извне такую защиту пробить не просто.

Проводя регулярное периодическое сканирование уязвимостей с помощью продукта McAfee Vulnerability Manager, мы получаем актуаль­ную информацию об уязвимостях, которые могут до поры до времени таиться в ежедневно используемых аппаратных и программных ресурсах. Данный компонент комплекса позволит своевременно реагировать на новые уязвимости, о которых мы могли и не подозревать. В разрезе задачи по защите сетевых принтеров, данный модуль своевременно уведомит ответственного специалиста о необходимости обновления прошивки на сетевых принтерах.

Использование решения McAfee Application Control позволит четко ограничить перечень разрешенных команд/ запускаемых сервисов не только на сетевых принтерах, но и на рабочих станциях. Это, в свою очередь, дает возможность глобально поддерживать уровень безопасности функционирования таких систем даже в условиях, когда своевременное обновление программного обеспечения не осуществимо по вине производителя или особенностей техпроцесса. Проще говоря, запретив принтерам все, кроме печати, мы можем быть уверенны в том, что они будут впредь использоваться только по прямому назначению и не станут «плацдармом» для атакующего.

Возможные сценарии эксплуатации скомпрометированного принтера
• Каждый напечатанный документ дублируется на email/twitter атакующего (модификация прошивки).
• Перегрев термоэлемента - причина задымления, возгорания (модификация прошивки). 
• Рассылка спама либо вредоносных вложений(модификация прошивки / встроенный функционал). 
• Распечатка произвольного текста (достаточно гостевого доступа к веб-интерфейсу). 
• Отказ в обслуживании (административный доступ к web или telnet). 
• Доступ к внутренней памяти/накопителю информации принтера (может быть использован для доступа к архиву документов, либо хранения инструментов для проникновения/сбора информации об ИТ-инфраструктуре атакованного. не требует модификации прошивки, достаточно административного доступа). 
• Хранение документов порождает возможный риск утечки данных, связанный с продажей/передачей устаревшей техники (необходима обязательная очистка памяти перед передачей устройства сторонним лицам). 
• Получение паролей администраторов путем анализа исходного кода страницы веб-интерфейса или резервной копии конфигурации (как правило, сохраненные пароли хранятся в открытом виде). 
• Использование принтера в качестве «зомби»-хоста (ретрансляция запросов атакующего извне в локальную сеть). 
• Стеганография(скрытая маркировка распечаток с целью идентификации принтера). 
• Инициализация процесса обновления прошивки и умышленное ее прерывание с целью вывести принтер из строя. 


Автор статьи — инженер технической поддержки проектов группы компаний «БАКОТЕК»