Novas pesquisas sobre um problema antigo revelam que, apesar dos esforços, os profissionais de InfoSec ainda têm um caminho a percorrer quando se trata de vulnerabilidades em impressoras e, claro, em protegê-las.
Apesar das amplas advertências e esforços da comunidade de segurança para endurecer as defesas em impressoras, elas continuam representando um alvo maduro para os atacantes.
Apenas no verão passado, pesquisadores da Check Point descobriram uma vulnerabilidade que permitia a um invasor comprometer uma impressora multifuncional com recursos de fax simplesmente enviando um fax. Em julho, a Positive Technology compartilhou uma prova de conceito de ataque que mostra como os invasores podem comprometer uma rede corporativa por meio da instalação de um firmware de uma impressora Xerox personalizada em uma impressora de destino. Em agosto, a HP Inc. corrigiu centenas de modelos de jato de tinta vulneráveis a duas falhas de execução remota de código (CVE-2018-5924, CVE-2018-5925).
Impressoras, dizem pesquisadores de segurança, são o Calcanhar de Aquiles para gerenciamento de rede. Elas estão na rede, assim como um PC e precisam de atualizações regulares como qualquer outro endpoint de rede – mas geralmente não o fazem.
Em um estudo patrocinado pela HP pelo Ponemon Institute (veja em PDF), de 2.000 profissionais de segurança de TI pesquisados, descobriu-se que 56% dos entrevistados acreditam que os funcionários de suas organizações não enxergam as impressoras como uma área de alto risco de segurança. Pior ainda, apenas 44% dos entrevistados disseram que a política de segurança de suas organizações inclui a segurança das impressoras conectadas à rede.
“Muitas vezes, ninguém se importa com impressoras. Elas são consideradas equipamentos confiáveis que imprimem documentos. Mas no final do dia, é um ponto final – como um PC. Elas são habilitadas para Wi-Fi com um endereço IP e uma placa de interface de rede”, disse Paolo Emiliani, industry and SCADA research analyst da Positive Technologies.
De muitas maneiras, ele disse, a impressora é o dispositivo IoT original; e com isso, vieram problemas de segurança semelhantes.
O desafio é duplo, ele explicou. Muitas vezes, as impressoras corporativas mais antigas não recebem patches de segurança necessários. Além disso, as novas impressoras compatíveis com ambientes cloud, como aquelas com funções de gerenciamento remoto, estão aumentando os ataques nessas últimas gerações de impressoras.
“Em 2005, começamos a ver as impressoras se tornando dispositivos realmente conectados à rede e não apenas dispositivos conectados diretamente na USB de um PC ou servidor”, disse Eric McCann, software product marketing manager da Lexmark International. “Quase da noite para o dia, as impressoras tornaram-se multifuncionais e tinham acesso a tudo na rede”.
Matt Field, software development manager da Lexmark, disse que a introdução de uma impressora multifuncional abriu as portas e aumentou a demanda por coisas como a digitalização de documentos. Isso levou os funcionários a enviar trabalhos para um servidor compartilhado ou a enviar cópias digitais por e-mail.
Hoje, essa impressora com reconhecimento de rede está agora na Internet e criando novas oportunidades para serviços em nuvem e recursos avançados, como o gerenciamento remoto por provedores de serviços terceirizados.
“Isso trouxe um conjunto totalmente novo de riscos de segurança para a equação”, disse Field. “Impressoras passaram de conectadas diretamente em um computador, de conectadas a uma rede, para agora, temos frotas inteiras de impressoras que podem ser gerenciadas via cloud, em um único portal.”
A Lexmark, assim como outros fabricantes de impressoras, disse que usa dispositivos de comunicação e firmware criptografados há mais de uma década. Cada um dos grandes fabricantes de impressoras – HP Inc, Epson e Canon – comercializam uma postura de segurança que exige que as impressoras cumpram as estritas políticas de TI dos negócios.
“Se você precisar que o seu PC seja autenticado no Active Directory, será necessário fazer o mesmo para a sua impressora. As empresas precisam estender essas políticas para baixo, para cima ou para os lados dentro de uma empresa”, disse Field.
Os riscos de segurança de impressoras vão desde a configuração incorreta do dispositivo, a manipulação de impressão, acesso não autorizado a dados impressos e ataques man-in-the-middle na nuvem. Depois, há uma miríade de vulnerabilidades que surgem, em que um hacker pode comprometer uma impressora e usá-la como um beachhead em um ambiente de rede seguro. A mitigação contra os riscos cai nas costas dos administradores de TI, mas também dos fornecedores que identificam bugs e os corrigem.
Empresas líderes no segmento de impressoras, como a Epson e Canon, transmitem a mensagem de segurança aos clientes, enfatizando a configuração e o gerenciamento adequados dos equipamentos. A Lexmark diz que adotou uma política de divulgação responsável para cada bug que os clientes encontram e chamam a atenção. A HP Inc. associou-se à Bugcrowd para criar um programa de recompensas de bugs. Em julho, lançou o primeiro programa de recompensas de bugs dedicado à impressora, com prêmios de até US$ 10.000.
Mas, apesar dos melhores esforços, encontrar bugs e consertá-los continua sendo um desafio – apesar de uma década tentando aperfeiçoar a prática. “O patch continua sendo um problema. Atualizações de firmware não são fáceis. Isso é algo com o qual estamos procurando melhorar no futuro”, disse Field. Ele disse que a empresa estava explorando maneiras de tornar o processo mais automatizado.
Evitar impressoras inseguras?
Em suma, evitar impressoras inseguras se resume à solução “óbvia” e que provou ser ilusória para muitos, dizem os especialistas. Eles sugerem a aplicação de regras de criptografia de dados e a substituição de impressoras desatualizadas por modelos mais seguros e novos. Os administradores de TI precisam implementar aplicações regulares de patches com impressoras, como faria com qualquer servidor de usuário ou PC. Por fim, aproveite qualquer gerenciamento integrado para protegê-lo adequadamente para acesso remoto.
.
* * * * *
.
Publicado originalmente no ThreatPost em 23 de novembro de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
.
Imagem deste post: Freepik (banco de imagens)
.