HP Officejet All-in-One: Et usannsynlig spionverktøy

Nettverksenheter inneholder vanligvis en webserver for konfigurasjon. Hvis du gjør det enkelt, eliminerer du behovet for klientsiden programvare. Problemet er at det også åpner døren for skurkene.

-------------------------------------------------- ---------------------------------------

Jeg leste et interessant innlegg av Michael Sutton på Zscaler-nettstedet. Han oppdaget at nettverksbaserte HP Officejet-produkter kan utnyttes til å stjele potensielt sensitiv informasjon. Heldigvis er kuren enkel.

Problemet

Da jeg begynte å lese Mr. Suttons innlegg, var jeg ikke så bekymret. Ikke mange brukere vet om konfigurasjon av webservere eller hvordan de får tilgang til dem. Den eneste negative opplevelsen jeg har opplevd var da noen feilaktig endret den statiske IP-adressen og slo skriveren utenfor linjen.

Dessuten er webservere bare tilgjengelige fra datamaskiner i det interne nettverket. Det betyr at en angriper må være en innsider eller trenge gjennom omkretsforsvaret. I begge tilfeller er det mer å bekymre seg for enn konfigurasjonen av en Officejet All-in-One.

Ikke nødvendigvis sant

Det ser ut til at mange hjemmenettverk og bedriftsnettverk ikke er riktig konfigurert. Som Officejet websider vises på Internett. Mr. Sutton kom på en smart måte å finne dem på. Siden webserverne vender mot Internett, er alt det som kreves å kjøre et søk etter vanlige setninger som brukes på disse bestemte websidene. For eksempel:

  • "Bare estimer. Faktiske blekknivåer kan variere."
  • inanchor: "page = printerInfo"
  • "Estimerte blekknivåer", "HP Photosmart", "Varer som trenger oppmerksomhet"
  • hp photosmart-status, "produktserienummer", "produktmodellnummer"

Søkeresultater

Jeg ble overrasket over antall enheter som dukker opp i min første spørring:

HP Officejet-produkter er som standard ikke passordbeskyttet. Så et stort flertall av enhetene jeg fant var åpne. Jeg kunne endre noen av innstillingene som jeg ville. Så hvis jeg ville være stygg, kunne jeg opprette et administratorpassord, og låse de respektive brukerne ut av sin egen Officejet-skriver / skanner.

For å gjøre vondt verre

De nyere versjonene av HP Officejet-produkter inneholder en funksjon som heter Webscan. Dette gir eksterne brukere muligheten til å starte en skanning og hente det skannede bildet. Det kan virke ganske ufarlig, men Mr. Sutton har dette å si:

"Det mange bedrifter ikke er klar over, er at skannerne deres som standard kan tillate alle på LAN å eksternt koble seg til skanneren, og hvis et dokument ble etterlatt, kan du skanne og hente det ved å bruke noe mer enn en nettleser. konfidensielt dokument på skanneren og spurtet tilbake for å hente det da du skjønte det? Trodde det. "

På slutten av Mr. Suttons innlegg har han flere bilder som han var i stand til å hente ved hjelp av Webscan.

Testresultater

Naboen min har en Officejet J6410. Jeg spurte ham om han visste om konfigurasjons-webserveren. Han gjorde det ikke som Officejet ble satt opp ved hjelp av HP-programvarepakken som fulgte med J6410. Det betydde at maskinvaren ikke hadde passord, og at du kunne få tilgang til det eksternt.

Jeg ba om tillatelse til å kjøre noen få tester, og det var dette jeg fant. Det første lysbildet presenterer all enhetsinformasjon og legger merke til at J6400 har funksjonen Webscan:

Neste lysbilde viser hvor enkelt det ville være for meg å endre IP-adresse og DNS-serverinformasjon:

Jeg gikk til sikkerhetswebsiden, og som du kan se er ikke noe passord satt:

Deretter åpnet jeg Webscan-siden og slo forhåndsvisningsknappen. Det kunne ikke ha fungert bedre. Det var fortsatt et bilde i skanneren, og jeg kunne lagre det digitale bildet på datamaskinen min:

Officejet-spionverktøyet

Ved testene mine og de tidligere søkeresultatene kan du se at en Officejet-skriver / skanner har potensial til å være et ganske spionverktøy. Ved hjelp av nettgrensesnittet kan informasjon om nettverket hentes, og hvis heldig, kan du få sensitiv informasjon via skanneren.

Mr. Sutton mener det ville være enkelt å skrive et manus for å kjøre skanneren regelmessig:

"Ettersom alt er nettbasert, kan en initiativrik, men misfornøyd ansatt ganske enkelt skrive et skript for regelmessig å kjøre skanneren i håp om å fange et forlatt dokument. URL-adressen som ble brukt til å sende webskannede dokumenter til en ekstern nettleser er også helt forutsigbar som vist :
http: // Scanner IP /scan/image1.jpg?id=1&type=4&size=1&fmt=1&time= epoch time

Et skript kan derfor også skrives for å kjøre en gang per sekund for å fange dokumenter som er skannet med funksjonen Webscan. "

Enkel løsning

Som jeg nevnte tidligere, er løsningen å lage et administratorpassord for webserveren. Det skal hindre tilgang til konfigurasjonen eller Webscan. For bedrifter som har et betydelig antall skriver / skannere, har Mr. Sutton skrevet et Perl-skript som vil avgjøre om noen nettverksenheter kjører HP-webservere.

I forskningen min for denne artikkelen kom jeg over en annen mulig løsning for større selskaper. ICSA Labs har utviklet et Network Attached Peripheral Security-program. Hvor ICSA Labs jobber med leverandører og selskaper for å sikre at enheter er konfigurert riktig.

Siste tanker

Vi må få ordet ut. Å glemme å bruke tilgangspassord eller ikke endre standardpassord på nettverksenheter er for utbredt. I dette tilfellet kan kostnadene for å se bort fra råd være alt fra pinlig til identitetstyveri.

Oppdatering : Angivelig har Ricoh og Kyocera skriver / skannere en funksjon som ligner Webscan. Eventuell ytterligere informasjon om disse merkene vil bli satt pris på.

© Copyright 2021 | pepebotifarra.com