GNU/Linux >> Belajar Linux >  >> Linux

Menyerang printer kantor?

Anda dapat memiliki beberapa serius bersenang-senang bermain dengan printer, mesin fotokopi, dan perangkat sejenis lainnya - bahkan UPS. Keamanan biasanya merupakan renungan terbaik, jika tidak sama sekali tidak ada.

Hal-hal yang pernah saya lihat:

  • Kredensial default digunakan di mana saja , dan panel konfigurasi berbasis web yang menyimpan kata sandi dalam teks biasa, seringkali di dalam file konfigurasi yang dihasilkan. Saya belum pernah melihat yang lebih baik dari MD5 biasa pada kata sandi, dan dalam satu kasus saya melihat CRC32.
  • Nama dokumen dan nama pengguna bocor melalui SNMP, biasanya melalui akses baca terbuka ke perangkat dan melalui SNMPv1/2 yang tidak menggunakan keamanan transportasi.
  • Nama ruang nama pribadi SNMP default atau sangat lemah (biasanya "pribadi", "SNMP" atau nama pabrikan), memungkinkan Anda untuk mengonfigurasi ulang pengaturan TCP/IP, menyuntikkan entri ke tabel perutean, dll. dari jarak jauh, dan seringkali ada cara untuk mengubah pengaturan yang tidak dapat diatur di panel kontrol. Sangat mudah untuk melakukan soft-brick pada perangkat.
  • UPnP diaktifkan di perangkat dalam penyiapan default, memungkinkan konfigurasi jarak jauh yang lebih menyenangkan. Sering kali Anda dapat mencetak halaman pengujian, menyetel ulang perangkat, menyetel ulang kredensial panel web, dll. Sekali lagi, biasanya Anda dapat mengubah setelan TCP/IP dan properti jaringan lainnya.
  • Kernel 2.2.x dan 2.4.x yang sangat usang, seringkali dengan banyak lubang eskalasi hak akses root yang bagus.
  • Skrip pemutakhiran firmware yang ditulis dengan buruk pada sistem, memungkinkan Anda mem-flash firmware arbitrer ke mikrokontroler internal. Anda dapat menggunakan ini untuk merusak perangkat, atau memasang rootkit jika Anda ingin menghabiskan banyak waktu untuk mengembangkannya.
  • Daemon SMB kustom atau lama, seringkali rentan terhadap RCE. Mudah dipwn dari jarak jauh.
  • Layanan berjalan sebagai root, grup pengguna tidak disiapkan dengan benar, izin file tidak disetel dengan benar.
  • Pekerjaan pencetakan berjalan secara asinkron dengan mengeksekusi skrip shell, memudahkan untuk meningkatkan hak istimewa Anda hingga ke daemon (biasanya root).
  • Server FTP dengan tulisan buruk terpasang di dalam perangkat. Saya bertaruh banyak uang bahwa fuzzer dapat merusak sebagian besar daemon FTP tersebut.
  • Semua aplikasi web biasa gagal, tetapi terutama kerentanan pengunggahan file.

Di sinilah segalanya menjadi lebih menyenangkan. Setelah Anda memasang printer, Anda biasanya dapat memperoleh nama pengguna dan informasi menarik lainnya dari jabat tangan SMB. Anda juga akan sering menemukan bahwa sandi ke panel kontrol web printer digunakan kembali untuk kredensial jaringan lainnya.

Namun, pada akhirnya, printer adalah mesin internal di jaringan. Ini berarti Anda dapat menggunakannya untuk menyalurkan serangan ke mesin lain di jaringan. Pada beberapa kesempatan saya berhasil memasukkan gcc dan nmap ke mesin fotokopi, yang kemudian saya gunakan sebagai basis operasi.

Apa solusinya? Pertama, Anda perlu menyadari bahwa printer dan mesin fotokopi biasanya adalah komputer yang lengkap, sering kali menjalankan Linux yang disematkan pada prosesor ARM. Kedua, Anda harus menguncinya:

  • Perbarui firmware perangkat ke versi terbaru.
  • Firewall printer mati dari internet. Ini harus jelas, tetapi sering terlewatkan. Printer / mesin fotokopi berbasis TCP/IP biasanya mengikat ke 0.0.0.0 , sehingga mereka dapat dengan mudah menyusup ke WAN.
  • Jika Anda dapat membuat printer hanya mendengarkan lalu lintas dari LAN, lakukanlah.
  • Ubah kredensial default di panel kontrol web. Sekali lagi, jelas, tetapi masih jarang dilakukan.
  • Temukan layanan apa pun yang berjalan di perangkat dan coba masuk ke dalamnya sendiri. Setelah masuk, ubah sandi dan nonaktifkan yang tidak perlu.
  • Dapatkan sendiri alat penemuan SNMP dan gali apa yang tersedia untuk printer Anda. SNMP memiliki sedikit kurva pembelajaran, tetapi patut untuk dilihat.
  • Jika Anda melakukan pemantauan jaringan internal, siapkan aturan untuk mengawasi segala sesuatu yang tidak biasa keluar dari printer. Ini memotong positif palsu dan memberi Anda indikasi yang baik ketika sesuatu yang cerdik terjadi.

Secara keseluruhan, jika itu adalah perangkat yang dicolokkan ke jaringan Anda, itu mungkin dapat dilakukan, dan harus menjadi bagian dari manajemen risiko Anda.


Masalah utama di sini adalah printer Anda dapat diakses dari luar jaringan Anda. Saya tidak pernah melihat situasi di mana printer harus dapat diakses dari luar jaringan, dan maksud saya selamanya! Saya sarankan Anda memperbaikinya, dan segera!

Ada lebih banyak printer daripada yang disadari kebanyakan orang, tetapi risikonya dapat dikelola dengan memperbaruinya, mematikan opsi yang tidak aman seperti http, dan mengubah kata sandi admin.


Seringkali printer memelihara log dokumen yang dicetak, terkadang berisi salinan dokumen itu sendiri yang dapat diunduh dari jarak jauh. Bahkan jika dokumen itu sendiri bukan metadata sensitif terkadang dapat membocorkan informasi seperti nama server file, komputer asal pengirimannya, nama pengguna...


Linux

  1. Linux – Sysfs dan Devtmpfs?

  2. Utilitas Bluetooth tingkat rendah?

  3. perintah setpci – konfigurasikan perangkat PCI

  1. Cara menginstal driver perangkat di Linux

  2. PCI-stub Vs Vfio-pci?

  3. Buat perangkat blok di RAM

  1. Mengkonfigurasi Perangkat Alsa Default (hw:0,0) Di Asoundrc?

  2. Cara membuat perangkat blok virtual (perangkat loop/sistem file) di Linux

  3. Contoh Perintah chfn di Linux