Ogni azienda ha al suo interno un’ingente quantità di hardware che, di norma, si cerca di mantenere ragionevolmente recente e aggiornato alle ultime patch e su cui spesso vengono riversate le attenzioni principali di sistemisti e DevOps. Vi è però un sottoinsieme di hardware aziendale che, per le ragioni più varie, non sempre continua a ricevere aggiornamenti di sicurezza dal produttore e ognuno di questi apparecchi può non solo giocare un ruolo fondamentale a nostro sfavore nel giorno in cui l’azienda dovesse essere sotto attacco, ma anche essere il punto di ingresso dell’attacco stesso. Le stampanti di rete fanno sicuramente parte di questo gruppo.
Tali apparati sono spesso sconnessi dalla rete esterna e quindi si potrebbe pensare che l’azienda non andrà a fuoco per colpa di una stampante, tuttavia dobbiamo ricordare che si tratta, almeno per i modelli più sofisticati di stampanti multifunzione da ufficio, di veri e proprio computer non così dissimili da tutto il resto del parco macchine su cui spesso gira un intero sistema operativo, almeno un web server che mette in ascolto la GUI di amministrazione, della memoria volatile e persino interi hard disk. Si tratta, quindi, di veri e propri host indipendenti che possono diventare delle zone di persistenza e\o agevolare movimento laterale all’interno della rete, nel momento in cui avessero all’attivo kernel e servizi esposti con vulnerabilità non corrette.
Va notato come i produttori sono ben coscienti di tale rischio e, per la maggior parte dei modelli e brand, rendono costantemente disponibili patch e firmware aggiornati, ma la diligenza nell’assicurarsi che vengano applicate correttamente sta al personale dell’azienda e non è difficile immaginare scenari in cui il software in esecuzione rimanga indietro rispetto a tutto il resto del parco macchine. Può succedere che questa attività, infatti, venga deprioritizzata in favore di altre, che il patching automatico non sia abilitato, che la stampante non riesca a connettersi al sito web del produttore e che però rimanga raggiungibile da tutti gli altri host della rete o, nei casi peggiori, tutto il mondo esterno in caso di configurazione non corretta, anche se solo temporanea, dei firewall aziendali.
Se vi state chiedendo quanto spesso possa accadere una cosa del genere, il dubbio è legittimo: non si sente spesso parlare di attacchi del genere, anche perché a meno di grosse sviste a livello firewall, anche la stampante peggio configurata non avrebbe visibilità dall’esterno della rete, tuttavia è stato dimostrato da F-secure un attacco battezzato cross-site printing, possibile su più di 150 modelli di stampanti HP, la cui descrizione è riportata come:
The most effective method would involve tricking a user from a targeted organization into visiting a malicious website, exposing the organization’s vulnerable MFP to what’s known as a cross-site printing attack. The website would, automatically, remotely print a document containing a maliciously-crafted font on the vulnerable MFP, giving the attacker code execution rights on the device.
Servirebbe, quindi, che un qualunque impiegato visiti una pagina web appositamente confezionata con un font che è in realtà un exploit, la quale dovrebbe rendersi in grado di auto-spedirsi alla stampante e, da lì, offrire esecuzione di codice remoto arbitrario. Non proprio una passeggiata, quindi, ma decisamente una minaccia da non trascurare, visto che in caso di riuscita l’attaccante si ritroverebbe già ben inserito all’interno della nostra rete su un dispositivo che difficilmente viene sottoposto ad audit e che può contenere esso stesso dati sensibili in cache nell’ordine dei gigabyte, anche se l’attacco non dovesse proseguire oltre.
Se siete ancora poco convinti, vogliamo ricordare che, nel 2018, un hacker annoiato è riuscito, usando script liberamente disponibili in rete, a far stampare un messaggio a 50.000 stampanti a caso in giro per il mondo. Il messaggio era, in quel caso, del tutto innocuo, ma l’autore dell’attacco dimostrativo ha rivelato di averne trovate più di 800.000 in quel momento vulnerabili e totalmente esposte a Internet.
Solo un anno prima, un attacco analogo colpì altre 150.000 stampanti e, anche in quel caso, l’intento era goliardico e non quello di compromettere realmente le aziende in questione, ma la security aziendale non può dipendere dalle buone intenzioni di chi la mette alla prova.
Esiste anche una ricerca tutta italiana sul tema, durante la quale si è dimostrata la fattibilità anche di reclutare stampanti per lanciare attacchi DDoS e che è stata ripresa anche da altre testate online.
Mitigare l’esposizione, comunque, non è difficile e non richiederà soluzioni drastiche: per ridurre di molto la superficie di attacco basterà, come sempre, mantenere una buona igiene per quanto riguarda gli update firmware di sicurezza e assicurarsi che la risorsa non sia visibile nè da Internet nè da host che non ne abbiano titolo. Tutto ciò va corredato con una policy di sicurezza generale per tutti gli altri dispositivi e host dell’azienda per ridurre al minimo la possibilità di attacchi tramite la navigazione su pagine web malevole.
Rimuovere completamente ogni rischio è, come sappiamo, un obiettivo poco realistico, ma prevenire errori grossolani è sempre un buon primo passo per evitare che la propria azienda venga hackerata anche solo tramite un termometro da acquario.