80,000 impresoras exponen su puerto IPP en línea


impresoras-en todas partes.png

Durante años, los investigadores de seguridad han advertido que cada dispositivo que queda expuesto en línea sin estar protegido por un firewall es una superficie de ataque.

Los piratas informáticos pueden implementar exploits para tomar el regulate del dispositivo a la fuerza, o simplemente pueden conectarse al puerto expuesto si no se requiere autenticación.

Los dispositivos pirateados de esta manera a menudo están esclavizados en botnets de malware, o sirven como puntos de apoyo iniciales y puertas traseras en redes corporativas más grandes (los piratas informáticos rusos ya usan esta técnica).

Sin embargo, a pesar de ser un conocimiento común entre los expertos en ciberseguridad y TI, todavía tenemos una gran cantidad de dispositivos que quedan expuestos en línea sin seguridad.

Exposición a IPP

En un informe publicado a principios de este mes, investigadores de seguridad de la Fundación Shadowserver, una organización sin fines de lucro centrada en mejorar las prácticas de seguridad cibernética en todo el mundo, han publicado una advertencia sobre las empresas que dejan las impresoras expuestas en línea.

Más específicamente, los expertos de Shadowserver escanearon los cuatro mil millones de direcciones IPv4 enrutables en busca de impresoras que expongan su puerto IPP.

IPP significa «Protocolo de impresión de internet«y, como su nombre lo indica, es un protocolo que permite a los usuarios administrar impresoras conectadas a World wide web y enviar trabajos de impresión a impresoras alojadas en línea.

La diferencia entre IPP y los múltiples protocolos de administración de impresoras es que IPP es un protocolo seguro que admite funciones avanzadas como listas de control de acceso, autenticación y comunicaciones cifradas.

Sin embargo, esto no significa que los propietarios de dispositivos estén utilizando alguna de estas características.

Los expertos de Shadowserver dijeron que escanearon específicamente en Net las impresoras con capacidad IPP que quedaron expuestas sin estar protegidas por un firewall y permitieron a los atacantes consultar detalles locales a través de la función «Obtener atributos de impresora».

En full, los expertos dijeron que generalmente encontraron un promedio de alrededor de 80,000 impresoras que se exponen en línea a través del puerto IPP a diario.

El número es aproximadamente una octava parte de todas las impresoras con capacidad IPP actualmente conectadas en línea. Un escaneo typical con el motor de búsqueda BinaryEdge revela un recuento diario de entre 650,000 y 700,000 dispositivos con su puerto IPP (TCP / 631) accesible a través de Web.

Problemas con la falta de seguridad del puerto IPP

Existen varios problemas importantes al dejar el puerto IPP completamente expuesto en línea sin ninguna protección adicional, como un firewall o mecanismo de autenticación.

Para empezar, los expertos de Shadowserver dicen que este puerto se puede usar para recopilar información. Esto fue posible porque un gran porcentaje de impresoras con capacidad IPP devolvieron información adicional sobre sí mismos, como nombres de impresoras, ubicaciones, modelos, versiones de firmware, nombres de organizaciones e incluso nombres de redes WiFi.

Los atacantes pueden recopilar esta información y luego buscar en ella redes empresariales en las que desearían centrar sus ataques futuros.

Además, alrededor de una cuarta parte del número complete de impresoras con capacidad IPP (alrededor de 21,000) también expusieron sus detalles de marca y modelo. Los investigadores de Shadowserver dicen que exponer esta información «obviamente hace que sea mucho más fácil para los atacantes localizar y apuntar a poblaciones de dispositivos vulnerables a vulnerabilidades específicas».

Para empeorar las cosas, las herramientas para la piratería de IPP también están disponibles en línea. Herramientas como PRET (Printer Exploitation Toolkit) admite el pirateo de IPP, y también se han utilizado en el pasado para secuestrar impresoras y obligarlas a imprimir varios mensajes de propaganda. Sin embargo, el mismo package de herramientas también podría usarse para cosas peores, como hacerse cargo de dispositivos vulnerables por completo.

Informe diario gratuito de exposición a IPP

La Fundación Shadowserver, dice que en el futuro planea publicar informes diarios sobre la exposición al IPP en su sitio internet.

«Esperamos que los datos que se comparten en nuestro nuevo informe de dispositivo IPP abierto conducirá a una reducción en la cantidad de impresoras expuestas habilitadas para IPP en World-wide-web, así como a crear conciencia sobre los peligros de exponer dichos dispositivos a escáneres / atacantes no autenticados «, dijo la organización en un informe publicado este mes.

Las empresas o los equipos nacionales de CERT que se hayan suscrito a las alertas de seguridad de la organización recibirán notificaciones automáticas si algún servicio de IPP se expone en línea dentro de sus redes y espacios de direcciones IP de los países.

Sin embargo, la Fundación Shadowserver, que ha ganado muchos seguidores en la comunidad de infosec por su trabajo en la lucha y el hundimiento de las redes de bots, dice que las compañías deberían buscar asegurar sus impresoras mientras aún no han sido explotadas.

«Es poco possible que muchas personas necesiten hacer que tal impresora sea accesible para todos», dijo la organización. «Estos dispositivos deben tener firewall y / o tener un mecanismo de autenticación habilitado».

El consejo proactivo de la Fundación Shadowserver para lidiar con dispositivos expuestos a Web es consistente con los hallazgos de un estudio académico del año pasado, que encontró que las eliminaciones de DDoS generalmente no son efectivas, y la policía debe enfocarse en reparar los sistemas para limitar un vector de ataque utilidad para un atacante.

Para configurar el command de acceso IPP y las características de autenticación IPP, se recomienda a los usuarios que consulten los manuales de sus impresoras. La mayoría de las impresoras tienen una sección de configuración de IPP en su panel de administración desde donde los usuarios pueden habilitar la autenticación, el cifrado y limitar el acceso al dispositivo a través de listas de acceso.



Enlace a la noticia first