Известный эксперт в области информационной безопасности Крис Викери (Chris Vickery), похоже, устал искать в сети уязвимые базы данных. Ранее он обнаружил в открытом доступе данные 13 млн пользователей MacKeeper, более 35 000 баз MongoDB и утечку информации о 191 млн американских избирателей. На этот раз Викери поведал об уязвимости в принтерах компании HP, которые могут использоваться злоумышленниками для хранения вредоносного ПО.
Викери начал изучать принтеры еще во время расследования утечки данных пользователей MacKeeper. Он пытался понять, какую опасность могут представлять неправильно сконфигурированные устройства, и могут ли злоумышленники каким-то образом их использовать. Оказалось, что могут.
Эксперт пишет, что тысячи офисных принтеров, объем внутренних хранилищ которых исчисляется гигабайтами, свободно доступны через интернет. Викери сосредоточился на изучении устройств компании HP, которые доступны по порту 9100 и фактически предоставляют хакеру анонимный FTP-сервер.
Злоумышленники могут воспользоваться опенсорсной утилитой для загрузки файлов на принтер HP и взаимодействия с ним. Названия утилит Викери умышленно не приводит. Как только файлы закачались, они становятся доступны через браузер и адрес вида http://<Printer_IP_Address>/hp/device/<File_Name>.
«Это открывает множество возможностей, — пишет Викери. — Хакер может хостить на вашем принтере вредоносную веб-страницу и скрипты, давая своим жертвам ссылки на них. Может быть, ему нужно хостить где-то исполняемые файлы, чтобы впоследствии к ним можно было получить доступ через wget-запрос. Такие принтеры являются замечательными репозиториями. Не нужно обладать богатым воображением, чтобы понять – таким способом можно хранить даже в высшей степени нелегальные материалы».
Также эксперт отмечает, что подобную «хакерскую заначку» вряд ли кто-нибудь обнаружит. Ведь никому не придет в голову проверять контент на жестком диске принтера. Кроме того, Викери считает, что компании, которые даже не потрудились нормально настроить принтер, вряд ли используют на рабочих местах какие-то системы авторизации, что тоже снижает шансы на обнаружение подобной атаки.
Согласно данным поисковика Shodan, в интернете можно обнаружить более 21 000 уязвимых принтеров HP, доступных по 9100 порту. Викери отмечает, что 9100 порт специфичен именно для устройств HP, но принтеры других производителей, скорее всего, подвержены тем же проблемам, просто их эксперт не искал.
Представители компании HP сообщили журналистам издания SecurityWeek, что им известно о данной проблеме. Именно поэтому в сентябре 2015 года компания представила для корпоративного сегмента новые принтеры линейки LaserJet, оснащенные средствами защиты от хакеров. Механизмы безопасности включают в себя HP Sure Start BIOS, Run-time Intrusion Detection и вайтлистинг прошивки.
«Сценарий такой атаки можно предотвратить, отключив команды PJL/PS, информация об этом может быть найдена в документе HP Printing Security Best Practices для энтерпрайз-принтеров HP LaserJet и HP Web Jetadmin. Кроме того, пользователи имеют возможность применять более защищенный протокол IPPS (Internet Print Protocol over HTTPS) вместо порта 9100», — добавили представители HP.
Викери, в свою очередь, рекомендует использовать фаерволы, а в случае с принтерами Hewlett-Packard – закрыть 9100 порт.
Фото: HP
