Tytuł taki zadziorny 😉
W każdej sieci korporacyjnej mamy sporo drukarek sieciowych, czasem nawet nie wiemy ile i gdzie.
Podpinamy, dołączamy stanowiska komputerowe i zapominamy.
Bardzo często robi to za nas firma zewnętrzna, obsługująca nam systemy wydruku.
Zaraz przedstawię atak na drukarkę i wyjaśnię dlaczego jest to krytycznie niebezpieczna część sieci.
Na początek na konsoli Linux ( polecam mieć virtualkę z Kali Linux ) zainstalujemy jedno z wielu narzędzi służące do testów bezpieczeństwa drukarek.
pip install colorama pysnmp
pip install win_unicode_console
apt-get install imagemagick ghostscript
git clone https://github.com/RUB-NDS/PRET cd PRET ./pret.py 192.168.1.136 pcl
ten adres IP to rzeczywiste urządzenie w jednym ze szpitali, które obsługuje. Urządzenie firmy obsługującej systemy wydruku w szpitalu.
Co widzimy? Otrzymujemy powłokę która umożliwia penetrację urządzenia! Żadnych haseł, modeli , szukania itp. starczy adres IP! Co może teraz wykonać osoba, która w ten sposób zaatakowała urządzenie? Wiele, ale zauważcie polecenie PUT, które umożliwia załadowanie statycznej binarki. Taka binarka to może być skaner sieci, malware, sniffer czy exploit na inne urządzenia w sieci.
Często sieć szpitala jest bardzo mądrze posegmentowana, ale drukarki maja dostęp do każdego segmentu, bo tak prościej … w ten sposób atakujący opuszcza vlan do którego się dostał.
Jak się zabezpieczać:
- aktualizacje oprogramowania ( problemem może być drukarka wynajęta, ale o tym potem )
- segmentacja sieci ( da się to ogarnąć, proponuję dyskusję w komentarzach )
- odcięcie drukarki od internetu – całkowite!
- użycie adresu publicznego – wersja dla psychopatów 😉
Jak zmusić firmę zewnętrzną aby dbała o aktualizację oprogramowania? Wyjaśnić że mając taki dostęp do urządzenia, ktoś złośliwy w niecnych celach może zmienić stan licznika 😉 Jesteśmy pełni obaw ….