Хакер сумел получить доступ к более чем 150 тысячам принтеров, подключенным онлайн без надлежащей защиты. О своем успешном эксперименте ИБ-энтузиаст, действующий под ником Stackoverflowin, рассказал изданию Bleeping Computer. По словам хакера, этой акцией он попытался привлечь внимание к проблеме уязвимости офисной техники, доступной извне, поскольку владельцы устройств не позаботились закрыть их с помощью файрвола или других средств защиты.
Как признался Stackoverflowin (по данным издания Computerworld, за ником скрывается молодой человек из Великобритании, интересующийся исследованиями в области информационной безопасности), он запустил автоматический скрипт собственного написания, который находил принтеры с открытыми сетевыми портами и отдавал им команду на печать. Отмечается, что атака затронула самые разнообразные устройства: от кассовых терминалов в небольших магазинчиках и кафе, до высококлассных МФУ в штаб-квартирах корпораций.
В результате принтеры распечатывали сообщение, в котором говорилось, что устройство стало частью бот-сети. Также в послании содержался рисунок в формате ASCII (в одной из версий сообщения - робот, в другой - компьютер с принтером), призыв закрыть доступ к порту и ссылка на аккаунт в Twitter.
Действия хакера привели к шквалу сообщений от пострадавших пользователей, которые пытались выяснить, что же с их принтерами, у производителей техники через официальные интернет-форумы, на профильных сайтах StackExchange, Spiceworks, Reddit, а также в социальных сетях. В своих обращениях люди говорили о самых разнообразных моделях различных брендов, включая Afico, Brother, Canon, Epson, HP, Lexmark, Konica Minolta, Oki и Samsung.
По признанию Stackoverflowin, его скрипт предназначался для принтеров с открытыми портами IPP (Internet Printing Protocol), LPD (Line Printer Daemon) и 9100. Также он содержал эксплоит, пользующийся уязвимостью типа Remote Code Execution в принтерах линейки Dell Xeon.
По оценкам хакера, его эксперимент затронул порядка 150 тысяч принтеров. Более того, если бы он задействовал все обнаруженные уязвимости, то это число могло бы превысить 300 тысяч, утверждает молодой человек.
При этом Stackoverflowin отмечает, что намерения его были исключительно благими, и никакого вреда пользователям его действия не нанесли.
"Конечно, никакой бот-сети нет. В прошлом люди уже проделывали подобные штуки, рассылая на печать расистские сообщения и т. п. Но я не такой. Я хотел помочь людям исправить проблему, но в то же время немного развлечься", - признался Stackoverflowin, добавив, что все "жертвы" его атаки реагировали нормально и даже благодарили.
Проблема уязвимости сетевых принтеров совсем не нова. К примеру, ею же в марте 2016 года воспользовался известный хакер Эндрю Ауэрнхаймер (ник Weev). Он устроил одну из крупнейших атак на принтеры, в результате которой устройства распечатывали сообщения с антисемитским текстом. Именно на этот инцидент и ссылается выше Stackoverflowin.
Интересно, что неделей ранее ученые из Рурского университета в немецком городе Бохуме опубликовали исследование, которое как раз посвящено незащищенной офисной технике. Специалисты предупреждают, что принтеры могут быть использованы злоумышленниками в качестве точки входа при атаке на корпоративные сети.
Принтеры вообще не должны быть доступны через интернет по IP-адресу. Если же это по какой-то причине необходимо, следует ужесточить правила доступа при настройке маршрутизаторов, указав список разрешенных IP-адресов, либо же создать VPN, рекомендовал пользователям Stackoverflowin.
