Многофункциональные принтеры: скрытый риск для безопасности

От сетевых МФУ могут исходить серьезные угрозы для бизнеса. знаете ли вы об этом?

Ваш многофункциональный сетевой принтер, невинно примостившийся в углу офиса, может оказаться самой подходящей точкой входа для хакеров, похищающих секретные бизнес-данные. Как предупреждают исследователи проблем безопасности, аппаратура, выполняющая несколько функций — факса, копира, принтера и сканера, несет скрытый риск для любой организации.

“Многофункциональный принтер опасен по целому ряду причин. Первая и главная состоит том, что обычно на него никто не обращает внимания. Из-за отсутствия контроля он становится очень привлекательной платформой для атаки”, — говорит исследователь Брендан О’Коннор, одним из первых (еще во время встречи Black Hat в 2006 г.)указавший на риск для безопасности со стороны принтеров.

“В ходе своего исследования я держал под контролем не один десяток устройств, и никто из ИТ-сотрудников не ведал, что я делаю. Сама мысль, что злоумышленник может полностью контролировать оборудование, находящееся во внутренней сети компании, выглядит устрашающе”, — сказал О’Коннор в интервью eWeek.

Нынешние сетевые принтеры, сканеры и копиры, считает он, уже не являются туповатыми машинами для выполнения рутинных задач. По его мнению, ИТ-администраторам пора обратить серьезное внимание на уязвимости этих устройств и выработать стратегии по управлению патчами и рисками.

О’Коннор, занимающийся информационной безопасностью в крупной финансовой компании, считает, что принтеры надо рассматривать наравне со всем остальным оборудованием, так как простая атака типа отказа в обслуживании может расстроить бизнес, зависящий от выхода бумажных документов.

В своей презентации на Black Hat 2006 он раскритиковал модель безопасности Xerox WorkCentre MFP, показав, как этот аппарат, укомплектованный процессором AMD, 256-Мб SDRAM и жестким диском на 80 Гб под управлением Linux, Apache и PostGreSQL, может исполнять роль небольшого сервера или рабочей станции, а не просто копира или принтера. Он продемонстрировал, как легко можно обойти аутентификацию в Web-интерфейсе этого устройства и запускать команды, полностью подчиняющие злоумышленнику новенькую машину Xerox WorkCentre.

“Вся распечатываемая, сканируемая и пересылаемая по факсу информация может быть украдена. Подчинив себе устройство, злоумышленник может тайно сохранять на встроенном жестком диске и другие данные работников организации. А при наличии встроенных сетевых и факс-модемных функций существует масса способов переправить уже захваченную информацию за пределы организации”, — сообщил О’Коннор.

По словам представителя Xerox, О’Коннор предупредил компанию об этой уязвимости в январе 2006 г., и в феврале того же года, за несколько месяцев до семинара Black Hat, компания выпустила необходимый патч.

Еще одним сценарием атаки является кража паролей и удостоверяющих данных, используемых в организации. “Если при определенных операциях типа просмотра электронной почты, сетевых каталогов или общих ресурсов пользователь должен ввести пароль, злоумышленник может перехватить его и затем получить широкий доступ к сетевым ресурсам”, — сказал О’Коннор.

Он предупредил, что некоторые МФУ имеют общедоступные IP-адреса, которые можно узнать, составив хитрый поисковый запрос к Google: “Несколько более сложные атаки могут использовать приемы CSRF [Cross Site Request Forgery]. При этом пользователю подсовывается специально сконструированная веб-страница, посредством которой злоумышленник обманом заставляет веб-браузер атаковать внутренний принтер. При продуманном плане CSRF-атака может быть невидимой для жертвы и предоставить злоумышленнику контроль извне за внутренним устройством”.

Есть также сценарий, когда мошенник получает физический доступ к устройству под видом работника техсервиса. Умелыми действиями он может в считанные минуты полностью скомпрометировать устройство. Такие “специалисты”, по словам О’Коннора, представляют собой еще одну серьезную угрозу безопасной эксплуатации принтеров.

По мнению Томаса Птачека, руководителя и основателя фирмы Matasano Security, занимающейся тестами на проникновение, этот риск отнюдь не теоретический. “Надо ли беспокоиться моим домашним, что в их принтер залез хакер? Наверное, нет. Но если вы являетесь компанией из списка Fortune 500, то уязвимые сетевые принтеры представляют жуткую опасность”, — сказал Птачек в интервью eWeek.

Он пояснил: “В офисах крупных организаций всегда имеется несколько принтеров, фактически работающих как файл-серверы для важных документов. Через них часто проходит ничем не защищенная информация, которая более секретна, чем та, что находится на обычном сервере для файлов или хранения данных. Этот факт полностью игнорируется и не причисляется к сетевым рискам. Вы слышали, чтобы кто-то искал патчи для принтеров? Люди недооценивают реальную опасность этих вещей”.

Используя незащищенный доступ к принт-серверу, искусный хакер, например, может нанести серьезный ущерб финансовой или медицинской организации. По словам Птачека: ”Он может тайно внедрить руткит и захватывать все документы, проходящие через сервер печати. Фактически он становится хозяином принтера и имеет полный контроль над всеми его операциями”.

Птачек, консультирующий в области безопасности ряд крупных производителей ПО, считает, что компаниям надо серьезно обеспокоиться принтер-специфическими вредоносными программами. “Давайте поразмыслим. Принтеры — идеальная мишень для таких вещей, как сетевые черви. Это по существу монокультура, так как такие устройства закупают целыми контейнерами и инсталлируют с одинаковыми стандартными параметрами, в однотипных местах и без всякой динамической защиты. Если вы сможете отдать команду одному принтеру, то то же самое можно сделать и для целой тысячи таких аппаратов в организации”.

Хотя выступление О’Коннора на Black Hat в 2006 г. повысило осведомленность по рассматриваемому вопросу, проблемы продолжают висеть в воздухе, так как многие производители принтеров не вкладывают средства в безопасность при создании программного кода.

“Некоторые производители предпринимают позитивные шаги, пытаясь выпускать более безопасный код и предоставлять конечным пользователям больший контроль над функционированием устройств, — говорит О’Коннор. — Другие же (не хочу называть их имена) занялись раздутой рекламой новых функций защиты своих устройств. Это хорошо смотрится в пресс-релизах и позволяет заработать лишние очки в продажах, но, по моему мнению, не решает реальную проблему. Насколько мне известно, большинство производителей ничего особенного здесь не сделало”.

Он рекомендует ИТ-администраторам обратиться к производителям многофункциональных принтеров с вопросом о том, что ими делается для защиты этих устройств: “Не стесняйтесь спрашивать, проводится ли аудит безопасности их кода. Выпускаются ли обновления и заплаты для дефектов в безопасности? Предоставляют ли они ИТ-персоналу средства для лучшего управления устройствами и большей видимости того, что происходит под их оболочкой? — говорит О’Коннор. — К сожалению, если ваш поставщик малоконтактен, вам сложно что-то сделать. Наверно, лучше подыскать более приемлемые варианты”.