23 Giugno 2020 - Tempo di lettura: 14 minuti
Le stampanti diffondono i nomi dei dispositivi, le posizioni, i modelli, le versioni del firmware, i nomi delle organizzazioni e persino gli SSID WiFi.
Per anni, i ricercatori della sicurezza hanno avvertito che ogni dispositivo lasciato esposto online senza essere protetto da un firewall è un mezzo di attacco.
Gli hacker possono distribuire exploit per assumere il controllo forzato del dispositivo o possono semplicemente connettersi alla porta esposta se non è richiesta alcuna autenticazione.
I dispositivi hackerati in questo modo sono spesso ridotti in schiavitù nelle botnet malware o fungono da punti di appoggio iniziali e backdoor in reti aziendali più grandi (gli hacker russi già utilizzano questa tecnica).
Tuttavia, nonostante si tratti di una conoscenza comune tra cyber-security ed esperti IT, abbiamo ancora un gran numero di dispositivi che rimangono esposti online senza protezioni.
In un rapporto pubblicato all'inizio di questo mese, i ricercatori di sicurezza della Shadowserver Foundation, un'organizzazione senza fini di lucro focalizzata sul miglioramento delle pratiche di sicurezza informatica in tutto il mondo, hanno pubblicato un avviso sulle aziende che stanno lasciando le stampanti esposte online.
Più specificamente, gli esperti di Shadowserver hanno scansionato tutti i quattro miliardi di indirizzi IPv4 instradabili per le stampanti che espongono la loro porta IPP.
IPP sta per "Internet Printing Protocol" e, come suggerisce il nome, è un protocollo che consente agli utenti di gestire stampanti collegate a Internet e inviare lavori di stampa a stampanti remote ospitate online.
La differenza tra IPP e i numerosi altri protocolli di gestione della stampante è che IPP è un protocollo sicuro che supporta funzionalità avanzate come elenchi di controllo degli accessi, autenticazione e comunicazioni crittografate.
Tuttavia, ciò non significa che i proprietari dei dispositivi stiano utilizzando una di queste funzionalità.
Gli esperti di Shadowserver hanno dichiarato di aver scansionato specificamente Internet per stampanti compatibili con IPP che sono state lasciate esposte senza essere protette da un firewall e hanno permesso agli aggressori di cercare dettagli locali tramite la funzione "Get-Printer-Attributes".
In totale, gli esperti hanno affermato di aver trovato una media di circa 80.000 stampanti che si espongono online tramite la porta IPP su base giornaliera.
Il numero è circa un ottavo di tutte le stampanti compatibili con IPP attualmente connesse online. Una normale scansione con il motore di ricerca BinaryEdge rivela un conteggio giornaliero compreso tra 650.000 e 700.000 dispositivi con la loro porta IPP (TCP / 631) raggiungibile via Internet.
Esistono diversi problemi principali nel lasciare la porta IPP completamente esposta online senza ulteriori protezioni, come un firewall o un meccanismo di autenticazione.
Per cominciare, gli esperti di Shadowserver affermano che questa porta può essere utilizzata per la raccolta di informazioni. Ciò è stato possibile perché una grande percentuale di stampanti compatibili con IPP ha restituito ulteriori informazioni, come nomi di stampanti, posizioni, modelli, versioni di firmware, nomi di organizzazione e persino nomi di reti WiFi.
Gli aggressori possono raccogliere queste informazioni e quindi cercare attraverso di esse reti aziendali sulle quali vorrebbero concentrare attacchi futuri.
Inoltre, circa un quarto del numero totale di stampanti compatibili con IPP (circa 21.000) ha rivelato anche i dettagli di marca e modello. I ricercatori di Shadowserver affermano che l'esposizione di queste informazioni "ovviamente rende molto più facile per gli aggressori individuare e indirizzare popolazioni di dispositivi vulnerabili a specifiche vulnerabilità".
A peggiorare le cose, anche gli strumenti per l'hacking IPP sono prontamente disponibili online. Strumenti come PRET (Printer Exploitation Toolkit) supportano l'hacking IPP e in passato sono stati utilizzati anche per dirottare le stampanti e costringerle a stampare vari messaggi di propaganda. Tuttavia, lo stesso toolkit potrebbe essere usato anche molto peggio, come la presa totale dei dispositivi vulnerabili.
La Shadowserver Foundation afferma che in futuro prevede di pubblicare rapporti quotidiani sull'esposizione IPP sul proprio sito Web.
"Speriamo che i dati condivisi nel nostro nuovo rapporto sui dispositivi IPP aperti porteranno a una riduzione del numero di stampanti esposte abilitate per IPP su Internet, nonché a sensibilizzare sui pericoli dell'esposizione di tali dispositivi a scanner / aggressori non autenticati ", ha affermato l'organizzazione in un rapporto pubblicato questo mese.
Le aziende o i team CERT nazionali che si sono iscritti agli avvisi di sicurezza dell'organizzazione riceveranno notifiche automatiche se eventuali servizi IPP sono esposti online all'interno delle loro reti e degli spazi degli indirizzi IP dei paesi.
Tuttavia, la Shadowserver Foundation, che ha guadagnato un discreto seguito nella comunità infosec per il suo lavoro di lotta e affondamento delle botnet, afferma che le aziende dovrebbero cercare di proteggere le loro stampanti mentre non sono ancora state sfruttate.
"È improbabile che molte persone debbano rendere tale stampante accessibile a tutti", ha affermato l'organizzazione. "Questi dispositivi dovrebbero essere protetti da firewall e / o avere un meccanismo di autenticazione abilitato."
I consigli proattivi della Shadowserver Foundation sulla gestione dei dispositivi esposti a Internet sono coerenti con i risultati di uno studio accademico dello scorso anno, che ha rilevato che gli abbattimenti DDoS sono generalmente inefficaci e le forze dell'ordine dovrebbero concentrarsi su come riparare i sistemi per limitare un ipotetico vettore di attacco.
Per configurare le funzioni di controllo dell'accesso IPP e di autenticazione IPP, si consiglia agli utenti di controllare i manuali delle loro stampanti. La maggior parte delle stampanti ha una sezione di configurazione IPP nel proprio pannello di amministrazione in cui gli utenti possono abilitare l'autenticazione, la crittografia e limitare l'accesso al dispositivo tramite gli elenchi di accesso.