Cuidado con las Impresoras: Cómo Cerrar la Brecha de Seguridad

¿Alguna vez se preguntó cómo un hacker podría explotar las impresoras de su red? Le pedimos a uno que lo averiguara

hackedprinter

La humilde impresora, a menudo difamada por operadores y usuarios por igual, es el objetivo de una amplia gama de ataques de piratas informáticos. El objetivo principal de un ataque de impresora es, aparentemente, la información que fluye a través del dispositivo, pero las impresoras multifunción y las impresoras de red más grandes ofrecen una variedad de otros bocados tentadores para el hacker creativo.

Nunca ha sido más importante prestar atención a la seguridad de las impresoras; no hacerlo podría poner a su empresa en riesgo de una violación de datos grave. Las impresoras son un objetivo tan atractivo porque, si bien las empresas pueden gastar una fortuna en la seguridad de los servidores, las impresoras apenas se lo piensan dos veces.

Pero antes de ver cómo cerrar esta brecha de seguridad vital, es esencial comprender los tipos de ataques dirigidos a las impresoras.

Que hace vulnerable a una impresora

Hay tres componentes de estos sistemas que pueden ser atacados: el controlador del sistema operativo, las herramientas de administración y el software de la impresora.

El controlador del sistema operativo es un fragmento de código que los usuarios generalmente desconocen porque existe para proporcionar una interfaz entre la cola de impresión de la computadora (los bits que manejan los trabajos de impresión) y la impresora física.

Este controlador se carga cuando la computadora arranca y, como con cualquier otro software, puede contener vulnerabilidades (particularmente en modelos más antiguos). Lo más probable es que el resultado de un ataque de este tipo sea la escalada de los privilegios del usuario local o la ejecución de código arbitrario en la propia PC, en contraposición a la impresora.

Cualquiera que haya agregado una impresora a su PC sin duda habrá instalado una amplia variedad de aplicaciones proporcionadas por terceros o proveedores para administrarla. Este software generalmente se instala como parte de la configuración de la impresora, se configura para ejecutarse en el momento del inicio del sistema y rara vez se actualiza.

Al igual que su primo más complejo, el controlador de impresión, un ataque contra estas herramientas probablemente resultaría en una escalada de privilegios local o en la ejecución de código arbitrario en la máquina local, en contraposición a cualquier control de la propia impresora. Lea aquí el análisis de HP sobre las amenazas a su impresora.

Cómo atacarán los piratas informáticos su impresora

Hay cuatro formas principales de atacar la impresora: la interfaz administrativa basada en web (WebUI), SMTP, FTP y SNMP. Tenga en cuenta que ninguna de estas rutas de ataque necesita que el hacker esté físicamente presente.

La WebUI de muchas impresoras es a menudo la primera parada para cualquiera que ataque una impresora. Cualquier compromiso de la WebUI, ya sea a través de credenciales de fuerza bruta o mediante algún exploit, le da al atacante la capacidad de controlar cualquier característica configurable de la impresora.

A menudo, un atacante utilizará este acceso para habilitar funciones, como políticas de retención de cola y acceso FTP, para que puedan regresar más tarde, recuperar trabajos de impresión confidenciales y analizarlos en busca de información confidencial. Atacar la WebUI es similar a patear la puerta principal de una casa que intenta robar: efectivo, pero no tan sutil.

Enviar correo no deseado a través de una impresora puede no parecer un escenario plausible, pero gracias a la capacidad de muchas impresoras de red para enviar y recibir correos electrónicos, esta es una gran posibilidad. Esto se debe al hecho de que la propia impresora no puede enviar correo electrónico, sino que requiere acceso al servidor de correo de la empresa.

Desafortunadamente, una gran cantidad de administradores simplemente permitirán que las impresoras envíen correos electrónicos a través del servidor de correo corporativo sin autenticación, lo que hace que la impresora sea una excelente fuente de correos electrónicos. Peor aún, los correos electrónicos que se originan en estos hosts son excelentes para los ataques de phishing internos porque pueden parecer genuinamente un escaneo.

SMTP, FTP y SNMP

backdoor

Muchas impresoras de clase empresarial también admiten la administración y el monitoreo a través del Protocolo simple de administración de red (SNMP). Si bien SNMP se usa más comúnmente para rastrear los niveles de tinta o tóner y el número de páginas impresas, también se puede usar para alterar la configuración de las impresoras, siempre que un atacante pueda obtener acceso a la cadena de comunidad de lectura y escritura de la impresora y / o autenticación. cartas credenciales.

Hay tres versiones diferentes de SNMP, cada una de las cuales tiene su propio método de autenticación: SNMPv1, SNMPv2c y SNMPv3. SNMPv1 y v2c requieren una cadena de «comunidad» simple, como una frase de contraseña previamente compartida que se usa para identificar dispositivos autenticados.

SNMPv3, por otro lado, requiere una cadena de comunidad, así como un nombre de usuario y contraseña cifrados para la autenticación. Desafortunadamente para las empresas, la inmensa mayoría de los dispositivos están configurados para usar SNMPv2c, lo que excluye las mejoras de seguridad propuestas del SNMPv2 básico.

El resultado final es que una vez que un atacante está en la red, es un asunto trivial rastrear la cadena de comunidad SNMP y luego usar esa cadena para realizar modificaciones de configuración en impresoras de red o dispositivos multifunción listos para la empresa.

Proteger contra ataques

Al final, la superficie de ataque de una impresora de red es bastante más grande de lo que podría haber entendido anteriormente. Entonces, ¿cómo se protegen estos accesorios de la oficina moderna?

La estrategia más eficaz comienza con la comprensión de los flujos de trabajo que utilizan las impresoras. Esto le permite aislar los dispositivos en la red a una VLAN separada mientras restringe el tráfico que puede atravesarla. Por último, mantenga actualizados los controladores de impresión y el software de gestión.

Comprender los flujos de trabajo relacionados con una impresora determinada garantiza que las medidas que tome para protegerla no afecten negativamente al negocio. Aislar las impresoras en su propia VLAN garantiza que pueda controlar el flujo del tráfico de red hacia y desde ese segmento de la red fácilmente.

Mantener los controladores de impresión y el software de administración actualizados garantiza que las máquinas locales no sean víctimas de códigos maliciosos que se dirigen al software que respalda nuestras impresoras. Algunas impresoras tienen opciones para deshabilitar las actualizaciones de firmware remotas o las actualizaciones de firmware enviadas como trabajos de impresión. Esto puede hacer que la implementación de actualizaciones de firmware sea un trabajo más grande, pero sigue siendo una buena idea si su impresora no tiene medidas de seguridad adicionales para evitar la instalación de firmware malicioso.

El factor HP

También vale la pena señalar que la última ronda de impresoras láser de HP, la serie M500, introdujo tres características clave de hardware y software para proteger contra ataques . De hecho, dos de las tres funciones se pueden incorporar a las impresoras HP más antiguas mediante actualizaciones de firmware. Consulte el enlace para obtener una lista completa de las impresoras cubiertas.

La única característica de seguridad que no estará disponible para las máquinas más antiguas es HP Sure Start, que depende de un BIOS «dorado» que es independiente del BIOS activo de la impresora. Si, en el momento del arranque, la impresora detecta que su BIOS se ha visto comprometida, se revertirá automáticamente al original.

La segunda nueva línea de defensa son las listas blancas, que deberían garantizar que solo se pueda cargar y ejecutar en la impresora el firmware «bueno». Si detecta firmware que no es de HP, se apaga y notifica al administrador de red.

La detección de intrusiones en tiempo de ejecución completa las funciones, con un monitoreo constante de la memoria en el dispositivo que busca ataques. Fundamentalmente para los administradores de TI a cargo de docenas de impresoras en diferentes lugares, la impresora se reinicia automáticamente.

Entonces, la lección es ser consciente de los agujeros de seguridad que ofrece la impresora en su red y tomar las medidas necesarias, ya sea actualizar a una nueva máquina, aislar las impresoras en su propia VLAN, asegurarse de que su firmware y software estén actualizados. , o una combinación de los tres.

A menos que desee que un atacante robe la correspondencia, contrato o informe de ventas de su próximo cliente, sería bueno que se ocupara de los impresores.

Para descubrir más sobre cómo las impresoras HP pueden protegerlo de ataques, visite el sitio de HP BusinessNow.

Deja un comentario