lunes, abril 06, 2015

Tu impresora "Brother" puede ser el "Hermano" de tu peor enemigo

Hace unos días me pasaron por correo electrónico - ¡gracias rootkit! - un dork para localizar un panel de búsqueda de impresoras que llevan las impresoras del fabricante Brother. Dicho panel es simple de localizar con el dork, pero tras mirar un poco la información que puedes obtener de él y lo que se puede hacer con la interfaz de administración web de las impresoras, parece la tormenta perfecta para que alguien ataque una empresa con la información que recolecte de ellos o que directamente se monte una botnet con las impresoras de este fabricante.

Figura 1: Tu impresora "Brother" puede ser el "Hermano" de tu peor enemigo

El trick para hacer el Hacking con Buscadores en cuestión busca una sencilla URL del panel de administración web de las impresoras multifunción Brother que no está protegido bajo ninguna sesión de usuario. Es decir, que es público y está abierto a todos los usuarios que lo busquen. Para localizar los paneles basta con buscar esta URL /pbio/find.html. Tras jugar con ello un rato, creo que es mejor dork buscar la página de información del dispositivo principal, ya que salen del orden de diez veces más dispositivos. Para ello, se puede usar este dork.

Figura 2: Dork para localizar impresoras Brother en Google

Una vez en el panel de administración, se accede a la lista de impresoras que se encuentran en la misma organización con la opción de Find Device y que se hayan dado de alta, ya sean de la marca Brother o de cualquier otro fabricante - como HP, Dell o Panasonic - con lo que se obtiene información táctica útil para cualquier atacante, como nombres de equipos, direcciones IP, segmentos de red, etcétera. Además, conociendo las direcciones de esas otras impresoras se podría buscar el panel de control de las mismas, que a veces tienen problemas de seguridad conocidos, como ya se ha visto en el pasado con impresoras HP o Ricoh - por poner un par de ejemplos -.

Figura 3: El panel de Find Devices no está protegido por sesión de usuario

Si desde ese panel se intenta acceder a la administración de cualquier impresora, ya sí que aparece un proceso de autenticación en la propia impresora en el que se solicita un nombre de usuario y contraseña para gestionar el dispositivo concreto. No obstante, en el caso de las impresoras Brother no hay que volverse loco, ya que con cancelar el proceso de login se llega a una pagina de error muy curiosa donde se nos informa de cuáles son los usuarios por defecto y cuándo debemos usar cada uno de ellos.

Figura 4: Usuarios y contraseñas por defecto en la página de error

Por supuesto, como podéis imaginar los usuarios y contraseñas de miles de esas impresoras no están cambiados, así que se llega a los paneles de administración de todas y cada una de ellas, sin necesidad de hacer nada complicado. Entre las fugas de información más curiosas que he visto está en el panel de control una dirección URL que permite ver todas las redes WiFi que se encuentran al alcance de esa impresora y cuáles son las que están configuradas, con lo que si se está haciendo un test de intrusión a una empresa el wardriving previo ya te lo ahorras.

Figura 5: Listado de todas las redes WiFi accesibles desde la impresora

Entre la información que se puede sacar de la configuración de los segmentos de red lógicamente se encuentran servidores DNS, DHCP, Gateways, etcétera, direcciones IP de clientes que envían trabajos de impresión, direcciones MAC, etcétera, y si se quisiera plantear un ataque de red en IPv6 con Evil FOCA, las impresoras lo tienen activado por defecto.

Figura 6: IPv6 configurado en Wired y Wireless por defecto

Una vez allí, se podría acceder a información incluso de los clientes de la red, ya que hay una función de administración que permite autenticar a los clientes por el nombre de su PC, con lo que en algunos sitios se puede localizar una lista de los PC-Names

Figura 7: Función que permite restringir por nombre de los PC el uso de las impresoras

Hay que remarcar que el panel de administración va con HTTP en casi todos los casos con lo que la información de gestión y por tanto las cookies de sesión van expuestas a ataques de session hijacking, además de que  los ficheros de exportación de datos en formato CSV no se borran automáticamente y no están protegidos por ninguna sesión, así que sabiendo la URL es fácil acceder a los datos de configuración de la impresora.

Figura 8: Descargando un CSV de la impresora sin autenticación de credenciales

También, desde los paneles de administración web de estas impresoras se puede cargar el firmware directamente desde el panel de gestión web, así que podría estudiarse la posibilidad de meter un firmware modificado para controlarlas remotamente como una botnet.

Figura 9: Configuración de un nuevo firmware para la impresora

Además, por si se quiere automatizar el control total de estas impresoras, el panel de administración cuenta con una consola de comandos vía web que puede simplificar un poco más aún el trabajo.
Figura 10: Web Console de las impresoras Brother

En cualquier caso, si tienes una impresora Brother en tu empresa, revisa la seguridad de la misma urgentemente - si no lo has hecho ya -. Si tienes una impresora de otro fabricante tampoco te olvides de realizar las mismas tareas de fortificación. Viendo todo esto, creo que estaría bien ver qué posibilidades hay de hacer algún plugin de Latch para estos paneles de administración de impresoras. Si alguien hace algo que lo cuente.

Saludos Malignos!


10 comentarios:

  1. Que recuerdos yo usaba las conectadas en paralelo,DB25, para imprimir telex vía hptelex.

    Fernando Gómez

    ResponderEliminar
  2. Bochornoso.

    Cómo nos organizamos para avisar a todas las víctimas?

    ResponderEliminar
  3. El panel de control de la Canon Pixma MP495 mola más :P

    ResponderEliminar
  4. #Anonimo...pues no es ninguna tontería, cualquiera que le preocupe la seguridad, como todo, es una forma de recopilar información que no debiera de estar visible. Son los pequeños detalles en los que se dan las vulnerabilidades :)

    ResponderEliminar
  5. jodeeee, hay una brother del MIT también expuesta, wtf?

    juro que no hice nada malo ni tengo el conocimiento suficiente para llevarlo a cabo, pero la curiosidad me mata ¬¬

    Saludos!

    ResponderEliminar
  6. Publicado el 11 Jun 2014 en
    https://github.com/urbanadventurer/WhatWeb/blob/master/plugins/brother-fax.rb .
    Y por lo que veo aún sigue sin corregirse.
    Asi me divierto más-

    ResponderEliminar
  7. Pues ahora ya es tanta la tecnología y lo avanzados que estamos en esto que algunos hackers son tan inteligentes que ya usan hasta las impresoras para obtener información de uno mismo sin que siquiera lo sospechemos

    ResponderEliminar
  8. Hostias que bueno, me recuerda un poco a los foros aquellos que poniendo "&user=admin" podías modificar de todo jajaja

    ResponderEliminar
  9. Si esos dispositivos usaran linux esto no pasaria.

    ResponderEliminar
  10. alguien podría ayudarme a descargar el firmware de una brother mfc-j485dw?

    ResponderEliminar