Производители принтеров не спешат исправлять уязвимости в своих продуктах.
Принтеры прочно вошли в повседневную жизнь, однако нельзя недооценивать угрозу кибербезопасности, которую они представляют. К такому выводу пришли трое ИБ-экспертов из Германии, Йенс Мюллер (Jens Müller), Владислав Младенов (Vladislav Mladenov) и Юрай Соморовски (Juraj Somorovsky).
Исследователи создали инструмент PRET (Printer Exploitation Toolkit) для автоматизации атак на популярные многофункциональные принтеры марок HP, Brother, Lexmark, Dell, Samsung, Konica, OKI и Kyocera с использованием давно известных и недавно обнаруженных уязвимостей. С помощью PRET они осуществляли атаки через USB, локальную сеть и интернет. В качестве вектора атак использовался язык описания страниц PostScript и язык, реализующий уровень контроля заданий и расширенного управления принтером, Printer Job Language (PJL).
Эксперты продемонстрировали, как злоумышленник может получить доступ к энергонезависимой памяти (NVRAM) устройства и получить доступ к конфиденциальной информации, такой как документы, учетные данные и т.д. Более того, уязвимости в популярных многофункциональных принтерах позволяют получить пароли к локальным серверам SMB, FTP, LDAP, SMTP и POP3, поскольку настройки «умных» устройств предусматривают подключение к ним. С помощью других уязвимостей злоумышленник также способен вывести из строя принтер целиком или некоторые его компоненты.
Некоторые проэксплуатированные исследователями проблемы безопасности обнаружены недавно, однако некоторые известны уже давно, но производители не спешат их исправлять
Официальный комментарий руководителя отдела продуктового маркетинга офисного оборудования компании Xerox Россия Елены Теплушкиной
Борьба с угрозами информационной безопасности — важнейшая задача современных компаний, поскольку промышленный шпионаж может нанести серьёзный удар по бизнесу. Получив доступ к корпоративной сети, конкуренты могут узнать о стратегических планах компании, увидеть документы, которые содержат коммерческую тайну, или похитить новейшие разработки, ещё не запущенные на рынок. Во многих случаях несанкционированный доступ к корпоративной сети и утечку конфиденциальной информации можно предотвратить с помощью административных методов: например, обеспечить мониторинг и фильтрацию трафика, установить жёсткую политику безопасности и отключить поддержку внешних накопителей.
Для борьбы с промышленным шпионажем современное печатное оборудование оснащается средствами шифрования данных, мониторинга сетевой активности, защиты системных файлов МФУ и предотвращения неавторизованного доступа.
Развитие технологий информационной безопасности — ключевой приоритет Xerox. В прошлом году компания обновила платформу Xerox ConnectKey, которая обеспечивает комплексную защиту МФУ от внутренних и внешних угроз в режиме реального времени. В печатных устройствах на базе Xerox ConnectKey по умолчанию используются безопасные протоколы передачи данных, 256-битное шифрование жёсткого диска с автоматической перезаписью, защищённая печать с удалением напечатанных файлов по расписанию, а также защита и шифрование внешних подключений электронной почты. Платформа Xerox ConnectKey интегрирована с передовыми системами безопасности, ранее недоступными для моделей офисного уровня. Технологии McAfee гарантируют обработку на МФУ только безопасных приложений, фрагментов кода и файлов из предварительно заданного «белого списка». Решение McAfee Embedded Control поддерживает целостность встроенного ПО печатных устройств, отслеживая состояние системных файлов и уведомляя о попытках их изменения. Технология McAfee Integrity Control предотвращает запуск неавторизованных программ. Cisco TrustSec обеспечивает комплексную защиту сетей и доступа к важным ресурсам, автоматически распознавая и классифицируя все устройства с поддержкой IP, подключающиеся к корпоративной сети.
Риск утечки информации также можно снизить посредством контроля и ограничения доступа к печати, копированию и сканированию документов. В частности, таким функционалом обладает система YSoft SafeQ, которая отслеживает каждое обращение к печатной технике и формирует отчёты со статистикой, отсортированной по пользователям, подразделениям, проектам и другим параметрам.
Владимир Лебедев, директор по развитию бизнеса Stack GroupЛадно, не доказали. Но мы работаем над этим