Durante anos, pesquisadores de segurança alertaram que todos os dispositivos expostos on-line sem serem protegidos por um firewall são uma superfície de ataque.

Os hackers podem implantar explorações para controlar à força o dispositivo, ou podem simplesmente conectar-se à porta exposta se nenhuma autenticação for necessária.

Os dispositivos hackeados dessa maneira geralmente são escravizados nas redes de bots de malware ou servem como bases iniciais e backdoors em redes corporativas maiores ( os hackers russos já usam essa técnica ).

No entanto, apesar de esse conhecimento ser comum entre os especialistas em segurança cibernética e TI, ainda temos um grande número de dispositivos que ficam expostos on-line sem segurança.

EXPOSIÇÃO IPP

Em um relatório publicado no início deste mês , pesquisadores de segurança da Shadowserver Foundation, uma organização sem fins lucrativos focada em melhorar as práticas de cibersegurança em todo o mundo, publicaram um aviso sobre as empresas que estão deixando as impressoras expostas online.

Mais especificamente, os especialistas da Shadowserver digitalizaram todos os quatro bilhões de endereços IPv4 roteáveis ​​em busca de impressoras que estão expondo sua porta IPP.

IPP significa " Internet Printing Protocol " e, como o nome sugere, é um protocolo que permite aos usuários gerenciar impressoras conectadas à Internet e enviar trabalhos de impressão para impressoras hospedadas online.

A diferença entre o IPP e os vários outros protocolos de gerenciamento de impressoras é que o IPP é um protocolo seguro que suporta recursos avançados, como listas de controle de acesso, autenticação e comunicações criptografadas.

No entanto, isso não significa que os proprietários de dispositivos estejam usando algum desses recursos.

Os especialistas da Shadowserver disseram que examinaram especificamente a Internet em busca de impressoras compatíveis com IPP, expostas sem serem protegidas por um firewall, e permitiram que os invasores consultassem detalhes locais por meio da função "Obter atributos da impressora".

No total, os especialistas disseram que costumavam encontrar uma média de cerca de 80.000 impressoras que se expõem online via porta IPP diariamente.

O número é cerca de um oitavo de todas as impressoras compatíveis com IPP atualmente conectadas online. Uma varredura normal com o mecanismo de pesquisa BinaryEdge revela uma contagem diária entre 650.000 e 700.000 dispositivos com sua porta IPP (TCP / 631) acessível pela Internet.

PROBLEMAS AO NÃO PROTEGER A PORTA IPP

Existem vários problemas importantes ao deixar a porta IPP totalmente exposta on-line sem nenhuma proteção adicional, como um firewall ou mecanismo de autenticação.

Para iniciantes, os especialistas do Shadowserver dizem que essa porta pode ser usada para coletar informações. Isso foi possível porque uma grande porcentagem de impressoras compatíveis com IPP retornou informações adicionais, como nomes de impressoras, locais, modelos, versões de firmware, nomes de organizações e até nomes de redes WiFi.

Os invasores podem coletar essas informações e, em seguida, pesquisar por redes corporativas nas quais desejam focar futuros ataques.

Além disso, cerca de um quarto do número total de impressoras compatíveis com IPP (cerca de 21.000) também expôs seus detalhes de marca e modelo. Os pesquisadores do Shadowserver dizem que expor essas informações "obviamente facilita muito a localização e o direcionamento de populações de dispositivos vulneráveis ​​a vulnerabilidades específicas".

Para piorar a situação, ferramentas para hackers IPP também estão prontamente disponíveis online. Ferramentas como PRET (Printer Exploitation Toolkit) suportam hackers IPP, e também foram usadas no passado para sequestrar impressoras e forçá-las a imprimir várias mensagens de propaganda . No entanto, o mesmo kit de ferramentas também pode ser usado para coisas muito piores, como assumir completamente os dispositivos vulneráveis.

RELATÓRIO DIÁRIO GRATUITO DE EXPOSIÇÃO À IPP

A Shadowserver Foundation, diz que no futuro planeja publicar relatórios diários sobre a exposição à IPP em seu site .

"Esperamos que os dados compartilhados em nosso novo relatório de dispositivo IPP aberto levem a uma redução no número de impressoras ativadas para IPP expostas na Internet, bem como aumentem a conscientização sobre os perigos de expor esses dispositivos a scanners / invasores não autenticados. , "disse a organização em um relatório publicado este mês.

As empresas ou equipes nacionais da CERT que assinaram os alertas de segurança da organização receberão notificações automáticas se algum serviço IPP for exposto on-line em suas redes e nos espaços de endereço IP dos países.

No entanto, a Shadowserver Foundation, que conquistou muitos seguidores na comunidade infosec por seu trabalho no combate e na digitação de botnets, diz que as empresas devem procurar proteger suas impressoras enquanto elas ainda não foram exploradas.

"É improvável que muitas pessoas precisem tornar essa impressora acessível a todos", afirmou a organização. "Esses dispositivos devem ser protegidos por firewall e / ou ter um mecanismo de autenticação ativado."

O conselho pró-ativo da Shadowserver Foundation para lidar com dispositivos expostos à Internet é consistente com as descobertas de um estudo acadêmico do ano passado, que descobriu que as quedas de DDoS geralmente são ineficazes, e a aplicação da lei deve se concentrar na correção de sistemas para limitar um vetor de ataque utilidade para um invasor.

Para configurar os recursos de controle de acesso e autenticação de IPP, recomenda-se aos usuários verificar os manuais de suas impressoras. A maioria das impressoras possui uma seção de configuração IPP em seu painel de administração, de onde os usuários podem ativar a autenticação, criptografia e limitar o acesso ao dispositivo por meio de listas de acesso.

Fonte: ZDNet, Shadowserver