Atención, Hoy en día pueden robarte tu información privada desde tu impresora

El presente artículo consta de cuatro partes, en la primera mostramos un caso real de hacking hacia una impresora conectada a la red local, en la segunda parte se muestra una lista de impresoras de diferentes fabricantes que están conectadas directamente a Internet y que podrían ser explotados desde Internet, en la tercera parte se muestra casos reales de acceso a diferentes impresoras publicadas a Internet. Por último, brindamos recomendaciones para proteger tu impresora e indicamos las fuentes utilizadas para elaborar el artículo.

Este artículo ha sido elaborado en colaboración con el Ing. Ariel Guzman, especialista de Seguridad Informática en La Paz Bolivia, Coordinador Regional para CISObeat y mi persona Ing. Cesar Farro quien forma parte del grupo de expertos de CISObeat Lima, Perú. Cualquier feedback será bienvenido para seguir mejorando.

Parte 1: Hacking de impresoras en la red local

En una red local se podrían realizar ataques a la impresora para realizar desplazamientos laterales, desconfiguración, defacement y captura de documentos que son enviados a la impresora.

Primero se realizó un escaneo de puertos y servicios de la misma, se pudo apreciar que tenía el puerto ftp (21/tcp) habilitado, para la captura de panallas hemos editado la dirección IP por confidencialidad.

Prueba1:Escaneo de puertos y servicios a una impresora Lexmark

Se puede apreciar la marca del fabricante, puertos abiertos con esta información más adelante lo estaremos aprovechando.

Prueba1: Acceso por ftp

Se intenta ingresar al servicio ftp con un usuario anonymous y acepta la conexión.

Pruab2: PRET (Printer Exploitation Toolkit)

Para los siguientes pasos estaremos usando una herramienta llamada PRET (Printer Exploitation Toolkit) desarrollado por Jens Mueller. PRET es una nueva herramienta para pruebas de seguridad de impresoras desarrollada en el marco de una tesis de maestría en la Universidad Ruhr de Bochum, Se conecta a un dispositivo a través de una red o USB y explota las características de un lenguaje de impresora determinado. Actualmente se admiten PostScript, PJL y PCL que utilizan la mayoría de las impresoras láser.

Esto permite capturar o manipular trabajos de impresión, acceder al sistema de archivos y la memoria de la impresora o incluso causar daños físicos al dispositivo.

La idea principal de PRET es facilitar la comunicación entre el usuario final y la impresora. Por lo tanto, después de ingresar un comando similar a UNIX, PRET lo traduce a PostScript, PJL o PCL, lo envía a la impresora, evalúa el resultado y lo traduce nuevamente a un formato fácil de usar. PRET ofrece una gran cantidad de comandos útiles para ataques de impresora y fuzzing.

Ahora utilizaremos PRET para ingresar a la impresora Lexmark indicando la dirección IP y automáticamente detecta el fabricante y el modelo respectivo de la impresora.

Seguimos con la conexión PRET a la impresora, ingresando a directorio previamente creado “cd hacked” y luego visualizando los archivos “ls” y creando un archivo localmente llamado: “hola_cesar” y subiendo el archivo: “porque_es_importante_proteger_mi_impresora.txt”:

Siguiendo desde PRET, listado de comandos disponibles y ejecución de shell:

Recolección de información de la impresora donde se observa número de serie, fabricante y modelo entre otros datos:

A continuación se observa listado de documentos de configuración dentro de la impresora.

Captura de documentos que son enviados a la impresora, quizás esto sea lo más peligroso como muestra en el mensaje afectará jobs printed by a PostScript driver.

También se observa comandos para resetear a valores de la impresora a fábrica, esto no lo realizaremos ya que no permitiría conectarse a la red.

Utilizando la herramienta PRET se logró hacer defacement de la impresora, para confirmar esta acción se ingresó a la página web de la impresora para validar el cambio:

Adicionalmente se confirmó el cambio del mensaje principal en la pantalla principal de la impresora:

Parte 2: Mostrar Fabricantes de impresoras disponibles desde Internet

Para la segunda parte hemos utilizado motores de búsqueda que nos ayudarán a mostrar impresoras por fabricante que están disponibles a Internet y por lo tanto disponibles a ataques de Internet.

Primeramente se hizo un reconocimiento con ayuda de SHODAN y Zoomeye con el fin de encontrar impresoras conectadas a Internet para conocer el estado de seguridad de las mismas.

TOP 10 PAÍSES CON IMPRESORAS PUBLICADAS EN LA WEB

La siguiente gráfica nos muestra los 10 paises con mas impresoras publicadas con conectadas a internet, en los que podemos ver 2 países de américa latina.

TOP FABRICANTES, PRODUCTOS DE IMPRESORAS

TOP 10 IMPRESORAS CON PUERTO 21 Y USER ANONYMOUS PERMITIDO

En la siguiente gráfica podemos ver los 10 países que tienen más impresoras publicadas en la web con el puerto 21 (FTP) abierto, además que estas impresoras permiten el acceso con el usuario anonymous.

TOP 10 PAISES CON IMPRESORAS CON EL PUERTO 21 ABIERTO

Se buscaron las impresoras más utilizadas en las empresas actualmente entre ellas tenemos las siguientes.

Las siguientes busquedas son realizadas con herramientas públicas y el resultado lo obtendría cualquier persona con un mínimo de conocimiento, por esa razón compartimos el resultado para que las empresas tomen conciencia ya que entendemos que no están enterados que sus recursos están disponibles a Internet sin protección.

• LEXMARK
• HP
• XEROX
• RICOH
• EPSON

Búsqueda impresoras Lexmark

• Búsqueda impresoras HP:

• Búsqueda impresoras Xerox:

• Búsqueda impresoras RICOH:

• Búsqueda impresoras EPSON:

A continuación mostraremos una búsqueda general de Impresoras por País, como ejemplo:

• Haciendo una búsqueda de impresora en Perú:

• Haciendo una búsqueda de impresora en Perú, por producto/fabricante y servicio disponible desde Internet:

• Haciendo una búsqueda de impresora en Bolivia:

• Haciendo una búsqueda de impresora en Bolivia, por producto/fabricante y servicio disponible desde Internet:

• Haciendo una búsqueda de impresora en Chile:

• Haciendo una búsqueda de impresora en Chile, por producto/fabricante y servicio disponible desde Internet:

• Haciendo una búsqueda de impresora en Brasil:

• Haciendo una búsqueda de impresora en Brasil, por producto/fabricante y servicio disponible desde Internet:

Parte 3: Acceso a impresoras publicadas a Internet:

1. Ingreso a impresora de marca Xerox publicada en internet:

• Como se puede apreciar en la imagen se logró realizar el acceso a la configuración de la impresora con privilegios de administrador.

• Una vez dentro con privilegios de administrador, se podía configurar/desconfigurar todo a nuestro antojo.

2) Ingreso a impresora de marca RICOH, se logró realizar el acceso con privilegios de administrador.

3) Ingreso a la impresora con marca EPSON, desde Internet:

Parte 4: Recomendaciones para proteger tu impresora:

Para proteger nuestra impresora ante los riesgos de un malware y que a su robe cualquier información importante de nuestro ordenador, aquí te dejamos 10 principales recomendaciones que debes tener en cuenta:

1. Actualizaciones de Firmware: Todos los fabricantes de cualquier impresora, tienen actualizaciones que regularmente mejoran y corrigen algunos errores que regularmente se suelen presentar en el sistema de nuestra impresora. Es por ello que te sugerimos que realices siempre las ultimas actualizaciones desde la misma página del fabricante, ya que de esta manera mantendrás segura tu impresora.
2. Mantener cifrada toda nuestra información: Te recomendamos mantener toda la información personal que tengas en tu ordenador de manera cifrada, esto hará que tu información que se encuentre en tu ordenador o en forma de transito estén de manera segura y no sean intervenidas por terceras personas.
3. Monitoreo constante: Debido a que toda nuestra información personal y confidencial que se almacena en nuestros ordenadores, nuestra impresora también se encuentra vinculada a nuestra red y por ello este abre un canal que hace que nuestra información corra peligro, es por ello que te sugerimos realizar monitoreos constantes para ver si existe algunas conexiones remotas por medio de nuestra impresora.
4. Métodos de autentificación o credencial: Actualmente muchas impresoras modernas tienen un sistema de seguridad por medio PIN, te recomendamos implementar un sistema de autentificación para la verificación de los usuarios que usen o administren la impresora , de tal manera que se tenga un manejo eficiente y control seguro de quien use nuestra impresora.
5. Verificar las direcciones IP asociadas a nuestras Impresoras: Mediante las direcciones IP de nuestro ordenador, cualquier individuo puede saber nuestra ubicación en tiempo real o incluso interceptar nuestra información personal, Es por ello que te sugerimos siempre verificar que la IP de nuestra impresora, Verificar que nuestra IP sea la que manualmente nosotros hemos asociado, de esta manera mantendremos nuestra información segura.
6. Verificar la impresión Remota de forma segura: Es probable que los servicios de impresión remota de nuestra impresora se encuentren activos, te sugerimos que desactives esa configuración remota para que otros usuarios no intercepten nuestra red. Si tenemos colaboradores que regularmente realizan impresiones con tablets o celulares, te recomendamos que utilicen la tecnología NFC, esto te permite poder realizar tu impresión con tan solo realizar un contacto con el dispositivo.
7. Cifrar Líneas de Comunicación con Nuestro Ordenador: Si deseamos administrar una impresora por medio de una web, debemos habilitar la SSL (Secure Socket Layer), este es un protocolo de seguridad que hace que nuestros datos pasen de manera íntegra y segura, es decir que toda nuestra información está totalmente cifrada, de esta forma evitaremos que terceros intercepten nuestra impresión confidencial.
8. Dejar la Bandeja de salida Vacía: Muchas veces se deja mensajes muy importantes y confidenciales dentro de la bandeja de salida, por ello te sugerimos que mantengas la bandeja de salida vacía para evitar así cualquier robo de información personal.
9. Renovar Impresoras antiguas: Es necesario que hoy en dia renueves tu impresora antigua, dado que mientras más antigua sea, menor será la seguridad que te brindara, ya que estas impresoras como son antiguas ya en su gran mayoría se encuentran sin actualizaciones o soporte por medio de la compañía y esto hará que sea menos segura ante los ataques de malwares.
10. Seguridad en Puertos: Existen varias impresoras que permiten enviar los documentos de impresión a través de SMTP, FTP, TELNET y puertos USB, esto hace que los atacantes pueden atacar con malwares por este medio para sustraer esos documentos confidenciales, por ello te sugerimos desactivar puertos que no se usen.

Fuentes:

A) Fuentes para recomendaciones de protección de Impresoras:

• http://www.itservice.com.pe/vigile-su-flota-de-impresoras-con-estos-tres-controles-de-seguridad/
• https://www8.hp.com/emea_africa/en/solutions/business-solutions/printer-security/quick-guide-to-secure-your-pcs-and-printers-for-compliance.html

B) Fuentes de las herramientas usadas:

• https://www.shodan.io/
• https://www.zoomeye.org/
• https://nmap.org/
• https://github.com/RUB-NDS/PRET
• http://hacking-printers.net/wiki/index.php/Main_Page

C) Videos Recomendados:

• The Wolf, con Christian Slater HP Studios video completo, https://www.youtube.com/watch?v=4ikW6Zdr48k
• IBM Films presents, Hacked: https://www.youtube.com/watch?v=nG36lKhy7ko