Специалисты предупредили об опасности атак Printjack на принтеры.
Итальянские исследователи безопасности Джампаоло Белла (Giampaolo Bella) и Пьетро Бионди (Pietro Biondi) представили три новые атаки на принтеры под общим названием Printjack. Атаки позволяют использовать принтеры для осуществления DDoS-атак, вызывать отказ в обслуживании (DoS) и перехватывать данные, отправленные принтеру для печати.
В исследовании "Вы слишком доверяете своему принтеру" (You Overtrust Your Printer) исследователи рассказали, как с помощью Shodan они выявили на территории Европы устройства с публично доступным TCP-портом 9100, обычно использующимся для печати. Как оказалось, на запросы порта отвечали десятки тысяч IP-адресов, и большинство из них находились в Германии, России, Франции, Нидерландах и Великобритании.
Хотя порт 9100 может быть сконфигурирован и для выполнения других задач помимо печати, для печати он является портом по умолчанию.
Первая атака Printjack позволяет включить принтер в DDoS-ботнет путем эксплуатации известной уязвимости удаленного выполнения кода, для которой есть доступный PoC-эксплоит. В качестве примера исследователи использовали уязвимость CVE-2014-3741, но, по их словам, в базе данных MITRE подходящих уязвимостей наберется несколько десятков.
Учитывая, что в вышеупомянутых странах в общей сложности используется 50 тыс. устройств с открытым портом, создать из них DDoS-ботнет не так уж сложно.
Ставшие жертвой такой атаки принтеры могут не отвечать, потреблять больше электроэнергии, нагреваться, а их электроника выходит из строя.
Второй вариант Printjack представляет собой "бумажную DoS-атаку", заключающуюся в повторяющейся отправке принтеру задачи печати до тех пор, пока в нем не закончится бумага. Хотя это, конечно же, не катастрофа, но случись такая ситуация в офисе компании, она может сорвать бизнес-процессы. И дело не в стоимости бумаги и тонера, а в вынужденном простое и затраченных ресурсах на исправление проблемы.
Для осуществления атаки достаточно написать простой скрипт на Python и выполнить его в атакуемой сети.
Третий и самый опасный вариант Printjack позволяет осуществлять атаку "человек посередине" и перехватывать предназначенные для печати материалы.
Поскольку передаваемые для печати данные не шифруются, злоумышленники могут воспользоваться уязвимостью в сети, к которой подключен принтер, и перехватить данные в открытом виде.
Для осуществления атаки злоумышленники должны иметь локальный доступ или проэксплуатировать уязвимость через узел атакуемой сети.
Одно найти легче, чем другое. Спойлер: это не темная материя