Найденная в лотке принтера распечатка может стать большим сюрпризом

Специалист по компьютерной безопасности с ником Stackoverflowin рассказал о взломе более 150 тысяч принтеров, которые доступны из глобальной сети. В интервью изданию Bleeping Computer он поведал, что цель взлома — не причинение вреда кому-либо или же извлечение выгоды, а привлечение внимания к проблеме информационной безопасности. По словам хакера, сейчас пользователи, как обычные, так и корпоративные, не обращают внимания на защиту своих принтеров, открывая к ним доступ извне без использования файрволов или других методов сетевой защиты.

Stackoverflowin создал скрипт, который занимается поиском доступных и открытых сетевых портов принтера, отправляя на уязвимые принтеры задачу печати. Никакого вреда скрипт не наносит, просто принтер пользователя начинает печатать страничку с определенным текстом, предупреждением о необходимости закрытия порта и защиты своего подключения.

stackoverflowin the hacker god has returned, your printer is part of a flaming botnet, operating on putin's forehead utilising BTI's (break the internet) complex infrastructure.
[ASCII ART HERE]
For the love of God, please close this port, skid.
-------
Questions?
Twitter: https://twitter.com/lmaostack
-------


Первая версия обращения к владельцам уязвимых принтеров содержала ASCII картинку робота и e-mail взломщика. При желании пользователь мог написать по этому адресу, получив информацию о том, как можно защититься. Вторая версия текста тоже содержит ASCII-рисунок, с изображением компьютера и рядом стоящего принтера. Выше рисунка размещается информация о необходимости защиты принтера, ставшего частью ботнета (на самом деле, ботнета нет).


Первая и вторая версия сообщений, отправленных хакером Stackoverflowin владельцам взломанных принтеров

Взлому оказались подвержены многие модели принтеров самых разных производителей. Среди прочих компаний, о принтерах которых стало известно — Afico, Brother, Canon, Epson, HP, Lexmark, Konica Minolta, Oki, Samsung. Скрипт ищет устройства, которые открывают порты IPP (Internet Printing Protocol), LPD (Line Printer Daemon) плюс порт 9100.

Частью скрипта является эксплоит, где используется уязвимость удаленного выполнения кода. Этот эксплоит рассчитан на принтеры линейки Dell Xeon. «Он позволяет мне выполнять инъекции PostScript и заставлять принтер выполнять задачи», — рассказывает Stackoverflowin.

То, что скрипт хакера оказался эффективным, не вызывает сомнений. В сети фотографии распечатанных страничек массово выкладывают владельцы взломанных принтеров. Вот часть этих сообщений.


Как видим, взломаны не только обычные, но и принтеры чеков.




Повторение пройденного материала


В самом скрипте и его работе нет ничего особо сложного, о чем говорили, например, на Хабрахабре. Именно поэтому поиск доступных в сети принтеров с отправкой сторонних заданий в очередь печати — популярное среди различных взломщиков и скрипт-кидди занятие.

Вероятно, взламывают принтеры гораздо чаще, чем об этом становится известно. В СМИ обычно освещаются случаи, когда принтеры заставляют печатать нечто необычное. Например, очень известным стал массовый взлом принтеров, осуществленный в прошлом году Эндрю Оренхаймером (Andrew Auernheimer). Он приурочил свое событие ко дню рождения Гитлера и отправил на печать множество листовок с антисемитским текстом и протестами против мигрантов.

Тогда стало известно о том, что задействованы были принтеры минимум 6 крупных университетов. Сначала злоумышленник собрал IP подключенных к сети устройств из Северной Америки и Австралии с открытым портом 9100. Сделать это оказалось очень просто при помощи сервисов Shodan или  masscan. После этого был использован простенький скрипт следующего содержания:

#!/bin/bash
for i in `cat printers`
do
cat payload.ps |netcat -q 0 $i 9100
done

Плюс была использована еще строка «while true; do killall --older-than 1m netcat;sleep 1;done» для того, чтобы убирать «повисшие» подключения. Об успехе всего мероприятия взломщик тоже узнал из социальных сетей, в частности, Twitter.

Защититься от подобного достаточно просто. Не стоит присваивать без необходимости своим принтерам публичные IP-адреса, на предприятии нужно проверить, не присвоены ли такие адреса стоящим там печатающим устройствам. Если присвоены, но для работы это не нужно, лучше исправить ситуацию заранее. Кроме того, можно воспользоваться одним из платных или бесплатных файрволов. Компания HP уже опубликовала собственное решение проблемы.
Поделиться с друзьями
-->

Комментарии (13)


  1. Kenya-West
    06.02.2017 19:01

    Я для прикола дам своему принтеру IP-адрес в Интернете и буду надеяться, что он каждый день будет печатать мне прогноз погоды (вдруг в Интернете есть «добрые» скрипты).

    Да и вообще, у меня подозрение, что вероятность нарваться на такой скрипт ниже, чем врезаться в башни-близнецы, купив не тот авиабилет по ошибке.


  1. gsaw
    06.02.2017 19:16

    «Никакого вреда скрипт не наносит»

    около 150000 распечатанных страниц A4. Это 300 пачек бумаги по 500 листов, наверное пол тонны бумаги — не один десяток спиленных деревьев.


    1. Marsikus
      06.02.2017 19:32

      Наверное еще и проблемы с отчетностью для предприятий, у которых такие чеки напечатались.


      1. saboteur_kiev
        06.02.2017 19:50

        Это гораздо дешевле, чем если бы принтер напечатал поддельный чек на определенную сумму, включая печать на внутреннюю фискальную ленту. Шанс тем, у кого принтеры, печатающие документы строгой отчетности успеть привести все в порядок до того, как случатся более серьезные проблемы.


  1. melchermax
    06.02.2017 20:07
    -1

    Я так попытался напугать мать свох детей: будучи на службе, отправил на печать с сотового текст про захват мира роботами… Думал, она прочтёт и поверит, так как про сетевые возможности принтера не знала. А она вечером флегматично так: там принтер фигню печатает, я выбрасывть не стала, погляди. Обидно.


  1. igrig
    06.02.2017 20:31
    +1

    Касательно принтеров — то как они то оказываются выставленными наружу? Просто интересен юзкейс. Потому что случайным такое представляется мало вероятным. Ну это если не брать в расчет там ipv6, хотя и то.


    1. saboteur_kiev
      06.02.2017 20:43

      комп с белым айпи, на него установлен сетевой принтер, по умолчанию расшаренный на всех.
      Небольшой магазин, с единственным компом и регистратором (принтером) на нем

      Насколько я помню, если устанавливаешь себе сетевой или локальный принтер по IP, то по умолчанию предлагается сделать его общим, то есть расшарить.


    1. semibiotic
      06.02.2017 21:54

      Ну почему? Например владельцам сказали что NAT это несолидно и несовременно, и они построили внутреннюю сеть на внешних адресах, включая сетевой принтер ...


    1. semibiotic
      06.02.2017 22:07

      Disclaimer: Cам по себе, NAT, конечно, не является security-решением (в отдельных случаях его можно обойти), но он вносит существенные ограничения.


  1. killik
    07.02.2017 03:26
    +1

    взломаны не только обычные, но и принтеры чеков

    Чую, в связи с нынешним обязательным применением онлайновых кассовых аппаратов, нас ждет много всякого.


  1. SanekPlus
    07.02.2017 06:57

    >> putin's

    Хакер путина оставил след! :))


  1. Impuls
    07.02.2017 09:21

    Тырк


  1. IGHOR
    07.02.2017 15:16

    С каких пор найти принтер в сети и что-то на нем распечатать называется взломом?