GNU/Linux >> Linux の 問題 >  >> Linux

オフィスのプリンターを攻撃?

真剣でも構いません プリンター、コピー機、その他のデバイス、さらには UPS で遊ぶのも楽しいものです。セキュリティは通常、完全に存在しないとまではいかなくても、せいぜい後付けです。

私が見たもの:

  • どこでも使用されるデフォルトの認証情報 、パスワードをプレーンテキストで保存する Web ベースの構成パネル (多くの場合、生成された構成ファイル内)。プレーンな MD5 より優れたパスワードは見たことがありません。CRC32 を見たケースも 1 つあります。
  • ドキュメント名とユーザー名が SNMP 経由で漏洩しました。通常は、デバイスへのオープンな読み取りアクセスと、トランスポート セキュリティが使用されていない SNMPv1/2 経由で漏洩しました。
  • デフォルトまたは非常に弱い SNMP プライベート名前空間 (通常は "private"、"SNMP" またはメーカー名) を使用すると、TCP/IP 設定を再構成したり、ルーティング テーブルにエントリを挿入したりできます。コントロール パネルで設定できない設定を変更する方法。デバイスをソフトブリック化するのは簡単です。
  • デバイスのデフォルト セットアップで UPnP が有効になっているため、リモートでの設定がより楽しくなります。多くの場合、テスト ページを印刷したり、デバイスをハード リセットしたり、Web パネルの資格情報をリセットしたりできます。通常、TCP/IP 設定やその他のネットワーク プロパティを変更することもできます。
  • 非常に古い 2.2.x および 2.4.x カーネルであり、多くの場合、root 権限のエスカレーション ホールが多数あります。
  • システムのファームウェア アップグレード スクリプトが正しく記述されていないため、内部マイクロコントローラに任意のファームウェアをフラッシュできます。これを使用してデバイスをブリックしたり、開発に多くの時間を費やしたい場合はルートキットをインストールしたりできます。
  • カスタムまたは古い SMB デーモン。多くの場合、RCE に対して脆弱です。リモートで簡単に pwn できます。
  • サービスがルートとして実行されている、ユーザー グループが正しく設定されていない、ファイル権限が正しく設定されていない。
  • 印刷ジョブは、シェル スクリプトを実行することによって非同期で実行されるため、権限をデーモン (多くの場合、root) の権限まで簡単にエスカレートできます。
  • デバイスに組み込まれている FTP サーバーの記述が不十分です。ファザーがこれらの FTP デーモンのほとんどをクラッシュさせる可能性があることに、私は大金を賭けるでしょう。
  • 通常の Web アプリケーションはすべて失敗しますが、特にファイル アップロードの脆弱性です。

ここで物事がさらに楽しくなります。プリンタにアクセスすると、通常、SMB ハンドシェイクからユーザー名やその他の重要な情報を取得できます。また、プリンターの Web コントロール パネルのパスワードが他のネットワーク資格情報に再利用されていることもよくあります。

ただし、結局のところ、プリンターはネットワーク上の内部マシンです。これは、ネットワーク上の他のマシンへの攻撃をトンネリングするために使用できることを意味します。何度かコピー機に gcc と nmap を取り込み、それを操作のベースとして使用しました。

解決策は何ですか?まず、通常、プリンターやコピー機は本格的なコンピューターであり、多くの場合、ARM プロセッサ上で組み込み Linux を実行していることを認識する必要があります。次に、それらをロックダウンする必要があります:

  • デバイスのファームウェアを最新バージョンに更新します。
  • プリンタをファイアウォールでインターネットから切り離します。これは明らかなはずですが、見過ごされがちです。 TCP/IP ベースのプリンター/コピー機は通常 0.0.0.0 にバインドします であるため、WAN に簡単に侵入できます。
  • LAN からのトラフィックのみをプリンタにリッスンさせることができる場合は、そうしてください。
  • ウェブ コントロール パネルでデフォルトの資格情報を変更します。繰り返しますが、明らかですが、まだあまり頻繁には行われていません。
  • デバイスで実行されているサービスを見つけて、自分で侵入を試みます。入ったら、パスワードを変更し、不要なものをオフにしてください。
  • SNMP 検出ツールを入手して、プリンタで利用できるものを調べてください。 SNMP には多少の学習曲線がありますが、一見の価値があります。
  • 内部ネットワークの監視を行う場合は、ルールを設定して、から出てくる異常を監視します プリンター。これにより、誤検知が大幅に削減され、危険なことがいつ発生するかを適切に示すことができます。

全体として、ネットワークに接続されたデバイスである場合、おそらく pwnable であり、リスク管理の一部にする必要があります。


ここでの主な問題は、ネットワークの外からプリンタにアクセスできることです。 したことがない ネットワークの外部からプリンタにアクセスできる必要がある状況を見たことはありません。早急に修正することをお勧めします!

ほとんどの人が認識しているよりもプリンターには多くのことがありますが、リスクはそれらを最新の状態に保ち、http などの安全でないオプションをオフにし、管理者パスワードを変更することで管理できます。


多くの場合、プリンターは印刷されたドキュメントのログを保持しており、リモートでダウンロードできるドキュメント自体のコピーが含まれていることもあります。ドキュメント自体が機密性の高いメタデータでなくても、ファイル サーバー名、送信元のコンピューター、ユーザー名などの情報が漏えいすることがあります...


Linux

  1. Linux – SysfsとDevtmpfs?

  2. Pci-stubとVfio-pci?

  3. Linux で仮想ブロック デバイス (ループ デバイス/ファイルシステム) を作成する方法

  1. setpci コマンド – PCI デバイスを構成する

  2. Linux でデバイスをマウントするには?

  3. RAM にブロック デバイスを作成する

  1. AsoundrcでデフォルトのAlsaデバイス(hw:0,0)を設定しますか?

  2. 低レベルのBluetoothユーティリティ?

  3. Linux での chfn コマンドの例