Những rủi ro nghiêm trọng đến từ các cuộc tấn công máy in 'Printjack'

23 tháng 11, 2021

Các máy in hiện đại vẫn dễ mắc phải các lỗi cơ bản và tụt hậu so với các thiết bị IoT và thiết bị kết nối khác đang bắt đầu tuân thủ các yêu cầu về an ninh mạng và quyền riêng tư dữ liệu. Việc tin tưởng quá mức vào máy in của các cá nhân và công ty có thể mang lại những hậu quả đáng kể.

Cảnh báo rủi ro tấn công đến từ máy in

Một nhóm các nhà nghiên cứu người Ý đã biên soạn một bộ ba cuộc tấn công có tên 'Printjack', cảnh báo người dùng và các tổ chức về rủi ro tấn công thông qua máy in, một thiết bị quen thuộc và không thể thiếu trong hoạt động hàng ngày của các cá nhân và tổ chức.

Theo các nhà nghiên cứu, các cuộc tấn công bao gồm tuyển chọn các máy in DDoS, áp đặt trạng thái DoS giấy và thực hiện các vi phạm quyền riêng tư. Bằng cách đánh giá khả năng tấn công và mức độ rủi ro, các nhà nghiên cứu đã phát hiện ra việc không tuân thủ các yêu cầu GDPR và ISO / IEC 27005: 2018 (quy định quản lý rủi ro mạng). Việc thiếu bảo mật tích hợp này đặc biệt nghiêm trọng nếu xem xét mức độ hoạt động của các máy in ở khắp nơi, được vận hành hàng ngày trong các môi trường quan trọng, các công ty và tổ chức thuộc mọi quy mô và thường là không được quan tâm đúng mức về mức độ rủi ro.

Tìm kiếm máy in có thể khai thác

Một bài báo có tiêu đề 'You Overtrust Your Printer' (Bạn quá tin máy in của mình) của Giampaolo Bella và Pietro Biondi, giải thích việc sử dụng công cụ tìm kiếm Shodan để quét các thiết bị có cổng TCP 9100 có thể truy cập công khai tại các quốc gia Châu Âu, thường được sử dụng cho các công việc in TCP / IP thô. Việc tìm kiếm này dẫn đến hàng chục nghìn IP trả lời truy vấn cổng, trong đó Đức, Nga, Pháp, Hà Lan và Anh có nhiều thiết bị bị lộ nhất.

Mặc dù cổng 9100 có thể được định cấu hình cho các công việc khác ngoài in, nhưng đó là cổng mặc định cho dịch vụ đó, vì vậy hầu hết các kết quả này có thể liên quan đến in.

Mẫu kết quả quét
Nguồn: Arxiv

Tuyển chọn máy in DDoS

Loại tấn công Printjack đầu tiên là tuyển chọn máy in DDoS và kẻ tấn công có thể thực hiện điều này bằng cách khai thác lỗ hổng RCE đã biết với một PoC có sẵn công khai. Các nhà nghiên cứu sử dụng CVE-2014-3741 làm ví dụ nhưng nhấn mạnh rằng ít nhất vài chục lỗ hổng khác có sẵn trong cơ sở dữ liệu MITRE.

Có đến 50.000 thiết bị bị phơi nhiễm chỉ tính riêng trong mười quốc gia hàng đầu của EU, thì việc nỗ lực tuyển chọn chúng cho các cuộc tấn công DDoS không phải là điều khó xảy ra. Các máy in trở thành nạn nhân của cuộc tấn công này có nhiều khả năng không phản hồi, tiêu thụ nhiều điện hơn và tỏa nhiệt nhiều hơn, trong khi các thiết bị điện tử của chúng sẽ bị phân hủy nhanh hơn.

DoS chính máy in

Loại tấn công Printjack thứ hai là 'Tấn công DoS giấy' được thực hiện bằng cách gửi lệnh in lặp đi lặp lại cho đến khi nạn nhân hết giấy từ tất cả các khay. Tình huống này nghe có vẻ không phải là một thảm họa, nhưng nó rõ ràng vẫn có thể gây ra gián đoạn kinh doanh, vì vậy vấn đề không phải là chi phí mực và giấy mà là thời gian ngừng hoạt động của dịch vụ và ứng phó sự cố. Các nhà nghiên cứu giải thích rằng cuộc tấn công này rất dễ thực hiện bằng cách viết một tập lệnh Python đơn giản được thực thi trong mạng mục tiêu, tạo ra một vòng lặp lệnh in lặp đi lặp lại hàng nghìn lần.

Tập lệnh được sử dụng để đặt máy in ở trạng thái DoS
Nguồn: Arxiv

Xâm phạm quyền riêng tư của chủ sở hữu

Trong loại tấn công Printjack nghiêm trọng nhất, có khả năng thực hiện các cuộc tấn công "man in the middle" và xem trộm tài liệu in. Bởi vì không có dữ liệu in nào được gửi ở dạng mã hóa, nếu kẻ tấn công khai thác lỗ hổng trên mạng của máy in, về mặt lý thuyết, chúng có thể lấy dữ liệu ở dạng văn bản rõ. Để chứng minh, các nhà nghiên cứu đã sử dụng Ettercap để kết nối giữa người gửi và máy in, sau đó Wireshark chặn một tệp PDF được gửi để in. Để thực hiện cuộc tấn công này, phải có quyền truy cập cục bộ hoặc phải khai thác lỗ hổng trên một nút của mạng mục tiêu.

Không phải là một vấn đề mới

Việc thiếu các khung bảo mật vững chắc trên máy in là một vấn đề đã được đặt ra nhiều lần trong những năm gần đây, đặc biệt là sau khi máy in được kết nối internet. Năm 2018, một diễn viên có biệt danh ' TheHackerGiraffe ' đã gây náo loạn quy mô lớn bằng cách chiếm đoạt 100.000 máy in để quảng cáo cho kênh YouTube PewDiePie cho vui. Vào năm 2020, CyberNews đã làm điều tương tự, buộc 28.000 máy in phải in ra các hướng dẫn về bảo mật chúng. Trong năm 2021, các nhà nghiên cứu phát hiện ra một lỗ hổng nghiêm trọng cao ảnh hưởng đến hàng triệu máy in từ các nhà sản xuất khác nhau, mà không bị phát hiện và không được sửa lỗi trong 16 năm .

Các nhà cung cấp máy in cần phải nâng cấp các quy trình bảo mật và xử lý dữ liệu trên thiết bị của họ, cả ở cấp độ phần cứng và phần mềm. Tương tự như vậy, người dùng và doanh nghiệp cần ngừng xem máy in của họ như một phần tử không đáng kể trong hoạt động hàng ngày của họ, giả định sai rằng máy in không có rủi ro thực sự đối với họ hoặc dữ liệu của họ.

Bella và Biondi kết luận trong bài báo : "Ngoài kỹ thuật của các cuộc tấn công là một bài học kinh nghiệm rõ ràng. Máy in phải được bảo mật bình đẳng như các thiết bị mạng khác như máy tính xách tay" .

"Có thể dự kiến một số biện pháp bảo mật thích hợp. Ví dụ: nếu quyền truy cập của người dùng vào máy tính xách tay thường được xác thực, thì quyền truy cập của người dùng vào bảng quản trị dựa trên máy chủ web của máy in thường cho phép, chẳng hạn như máy in đặt lại, thay đổi tên máy in, truy cập vào danh sách tên tệp đã in, v.v. "

"Tương tự, kết nối từ xa với một cổng của máy tính xách tay sẽ bị ràng buộc với xác thực đối với một số daemon và tương tự như vậy, việc gửi lệnh in sẽ yêu cầu thêm một cấp độ xác thực đối với máy in."

Nguồn: BleepingComputer

< Bài viết cũ hơn Bài viết mới hơn >