Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ

Проб­лема акту­аль­на для нес­коль­ких моделей МФУ Konica Minolta bizhub и поз­воля­ет получить пол­ный дос­туп к опе­раци­онной сис­теме на чте­ние и запись от име­ни поль­зовате­ля root. Прав­да, есть нюанс: для это­го нуж­но иметь непос­редс­твен­ный физичес­кий кон­такт с сен­сорным дис­пле­ем МФУ и воз­можность под­клю­чить к нему внеш­нюю кла­виату­ру.

Ког­да речь заходит о прин­терах, чаще все­го уяз­вимос­ти находят в драй­верах, сер­висных прог­раммах, веб‑при­ложе­ниях самого прин­тера или в реали­зации сетевых про­токо­лов этих устрой­ств. Ребята из SEC Consult пош­ли нем­ного дру­гим путем и сос­редото­чились на железе. Вооб­ще, сов­ремен­ный лазер­ный прин­тер — это по боль­шому сче­ту самый обык­новен­ный компь­ютер, раз­ве что пред­назна­чен он для реали­зации одной‑единс­твен­ной фун­кции: печати изоб­ражения на бумаге. В нем есть устрой­ства вво­да — сен­сорный дис­плей, неболь­шая кла­виату­ра, пор­ты USB и RJ-45, пос­ледова­тель­ные интерфей­сы, а некото­рые модели даже обо­рудо­ваны счи­тыва­теля­ми RFID для аутен­тифика­ции поль­зовате­лей.

МФУ обыч­но вза­имо­дей­ству­ет с поль­зовате­лем через при­ложе­ние с гра­фичес­ким интерфей­сом, которое запуще­но в пол­ноэк­ранном режиме поверх *nix-сов­мести­мой опе­раци­онной сис­темы, при этом к самой ОС прин­тера поль­зователь непос­редс­твен­ного дос­тупа не име­ет. Все дей­ствия в сис­теме, которые при­ложе­ние совер­шает при нажатии физичес­ких кно­пок или экранных объ­ектов на сен­сорном дис­плее прин­тера, выпол­няют­ся от име­ни неав­торизо­ван­ного поль­зовате­ля с огра­ничен­ными при­виле­гиями. По край­ней мере, так дол­жно быть в теории.

В сво­ем ис­сле­дова­нии спе­циалис­ты SEC Consult рас­ска­зали о том, что при работе с МФУ Konica Minolta bizhub C3300i и C3350i они замети­ли стран­ную ано­малию. А имен­но: внеш­ний вид гра­фичес­кого при­ложе­ния на сен­сорном экра­не прин­тера нем­ного менял­ся в зависи­мос­ти от кон­тек­ста нажима­емых ими кно­пок и выбира­емых меню. Это поз­волило пред­положить, что, помимо собс­твен­ной прог­раммы для работы с устрой­ством, в МФУ исполь­зуют­ся и дру­гие стан­дар­тные при­ложе­ния, вхо­дящие в ком­плект пос­тавки опе­раци­онной сис­темы. Для про­вер­ки этой гипоте­зы иссле­дова­тели под­клю­чили к прин­теру внеш­нюю USB-кла­виату­ру и, нажимая раз­ные сочета­ния кла­виш, сумели запус­тить на экра­не бра­узер Chromium. Воз­никло подоз­рение, что таким обра­зом они могут получить и дос­туп к фай­ловой сис­теме прин­тера, вклю­чая фай­лы кон­фигура­ции, сох­ранен­ные пароли и про­чие кон­фиден­циаль­ные дан­ные.

Получение доступа к файловой системе

Дис­плей на МФУ Konica Minolta, как и на мно­гих дру­гих подоб­ных офис­ных устрой­ствах, нужен, что­бы управлять оче­редью печати, ска­ниро­вать изоб­ражения и изме­нять нас­трой­ки прин­тера. Для вза­имо­дей­ствия с поль­зовате­лем Konica Minolta исполь­зует самопис­ную прог­рамму, но некото­рые ее фун­кции реали­зова­ны в виде веб‑при­ложе­ния. Так, если на сен­сорном экра­не Minolta Bizhub C3300i перей­ти в раз­дел User authentication, нажать кноп­ку Public User Access, затем выб­рать на открыв­шемся экра­не раз­дел Utility, а затем еще раз Utility, откро­ется встро­енная спра­воч­ная сис­тема прин­тера. Она реали­зова­на в виде веб‑при­ложе­ния, для отоб­ражения которо­го откры­вает­ся стан­дар­тный бра­узер Chromium в пол­ноэк­ранном режиме («режиме киос­ка») без каких‑либо панелей, рамок и про­чих эле­мен­тов интерфей­са — иссле­дова­тели опре­дели­ли это по изме­нению внеш­него офор­мле­ния при­ложе­ния.