Специалисты компании Trustwave рассказали о неисправленной уязвимости, которая позволяет удаленно атаковать тысячи принтеров Brother и вызывает отказ в обслуживании.
По информации исследователей, проблема заключается во встроенном httpd-сервере Debut, который используется некоторыми моделями Brother для работы веб-интерфейса. Уязвимость получила идентификатор CVE-2017-16249 и присутствует в Debut версии 1.20 и раньше.
Устроить DoS-атаку на уязвимые устройства достаточно просто: злоумышленник должен направить специально подготовленный запрос HTTP POST уязвимому принеру. Такой запрос заставит веб-сервер устройства надолго «задуматься», пока тот в конечном счете не вернет ошибку HTTP 500. Но пока сервер пытается справиться с запросом, принтер не может выполнять свои функции, и веб-интерфейс также становится недоступен.
Специалисты пишут, что поддерживать устройство в неработающем состоянии можно очень долго, достаточно просто направлять принтеру один вредоносный запрос за другим. По данным поисковика Shodan в сети насчитывается не менее 16 000 уязвимых перед такими атаками устройств.
Исследователи Trustwave отмечают, что злоумышленники могут использовать данную уязвимость для таргетированных атак на организации. Так, выход из строя большинства принтеров определенно скажется на работе компании не лучшим образом. К тому же такие DoS-атаки могут использовать мошенники:
«К примеру, атакующий запускает такую DoS-атаку, а потом приходит в организацию в качестве “техника”, которого вызвали для решения проблемы. Выдав себя за техника, атакующий получит прямой физический доступ к IT-ресурсам организации, что, возможно, не получилось бы сделать удаленно», — объясняют исследователи.
Специалисты Trustwave уведомили производителя о проблеме еще в сентябре 2017 года, но так и не получили никакого ответа. В итоге специалисты приняли решение опубликовать не только информацию об уязвимости, но и proof-of-concept эксплоит для нее.