domingo, noviembre 11, 2012

Print me a message o robotízame

No sé ni cuantas veces en cuantas conferencias de hacking se ha hablado del riego de tener los paneles de las impresoras abiertos sin contraseñas. El número de charlas en las que se han hecho demos con impresoras sin password publicadas en Internet ha sido también enorme. Sin embargo, aún haciendo un poco de hacking con buscadores, es posible encontrar modelos y modelos de estas abiertas e indexadas en Google. En este ejemplo, modelos de Ricoh que me envió un amigo que intentaba solucionar un problema con una de ellas.

Figura 1: Paneles de impresoras Ricoh Aficio indexados en Google

El panel de control de las impresoras Ricoh Aficio ya me lo encontré cuando hice la prueba de Explorando una DMZ desde una conexión Citrix con una aplicación publicada en Internet a la que se podía hacer jailbreak, y es de los más jugosos dando información.

Figura 2: Panel de control de una impresora Ricoh Aficio público en Internet

Existen varios modelos, peor desde él se puede acceder a todo el historial de trabajos de impresión realizados, lo que puede ser muy beneficioso si se han impreso páginas webs de la Intranet, o documentos desde rutas del sistema de ficheros, con lo que pueden salir hasta usuarios o passwords en las URLs o listas de usuarios del dominio.

Figura 3: Usuarios y URLs en el historial de trabajos

En los modelos que tienen soporte para fax, aparecen los números de teléfono y el reporte de los faxes tanto enviados como recibidos, por lo que revisando a quién pertenece cada número se podría conocer información de las relaciones de la empresa.

Figura 4: Historial de Faxes

También tienen toda la configuración de protocolos de red, en la que aparecen direcciones IP, nombres de servidores internos NETBios o incluso la configuración de las cuentas de correo con las que este modelo de impresora puede enviar los mensajes.

Figura 5: Configuración de servidores de correo

Desde el panel se pueden configurar muchas opciones, y algunas que tienen soporte para PDF pueden incluso configurar una contraseña temporal para los documentos, que es configurable desde el mismo interface abierto en Internet.

Figura 6: Configuración de una contraseña temporal para PDF

La pregunta que me hago yo, es la siguiente: ¿Por qué los fabricantes de impresoras - que seguro que saben de estos problemas con sus clientes - no distribuyen el servidor web sobre el que corren el interfaz web con un simple fichero robots.txt para minimizar el riesgo de que pase esto?

Figura 7: Robots.txt not found en el panel de control

No es tan difícil poner por defecto un robots.txt con un Disallow all en la raíz que haga que sea más difícil que acaben indexadas en Internet, ¿no?. De todas las opciones que he visto que son configurables desde el panel de control, ninguna permitía esto.

Saludos Malignos!

10 comentarios:

akil3s dijo...

Madre mia, acabo de estar mirando el inurl:websys/webArch/mainFrame.cgi
y es increible el acceso que tienes a nºs de Fax, a correos etc.
Luego se extrañan de tener spam hasta en el Fax :(

Buena entrada Chema, gracias.

MuR3 dijo...

En fin...

Anónimo dijo...

Buenas, hace tiempo que te sigo y me parece que realizas un muy buen trabajo, solo para compartir, tambien es posible acceder a las MPF de Canon, solo diré que le echeis un vistazo a la universidad de Yale :D
twelcome.cgi?CorePGTAG=0&Dummy=XXXXX
Buena entrada, sigue asi :)

Rafa Vargas dijo...

La mayoría de los crawlers no se toma en serio el robots.txt y además requieren que le especifiques tácitamente el nombre del bot al que impides la lectura. No se arreglaría.

Chema Alonso dijo...

@Rafa, te garantizo que con un simple robots.txt bien construido (de 10 o 20 líneas?) se mitigaría el problema en un gran porcentaje... ¿o no lo crees tú?

Saludos!

PulyRaptor dijo...

Un saludo.
Me ha interesado mucho tu artículo, ya que soy técnico de Ricoh. Pero tampoco es para asustarse, ya que Google, sólo ha encontrado 260 resultados, teniendo en cuenta que sólo en España, puede haber más de 1 millón de máquinas Ricoh, tirando bajo, y los resultados son a nivel mundial. He intentado acceder a algunas máquinas, y no he podido, se ve que por lo menos cambian la contraseña de fábrica. Aunque es cierto, que sin logearse, accedes a informes de fax y cola de impresión. Lo del robots.txt tendría que ser a nivel de programación de la máquina ¿no? Ricoh el software interno que usa es Unix. Teniendo en cuenta que las máquinas Ricoh, la mayoría tienen acceso a internet, por un tema de comunicación con servidores japoneses, me ha extrañado que sean muy pocos resultados, ¿puede ser también problema de configuración de las redes donde están instaladas estas máquinas? Gracias por tus artículos.

MuR3 dijo...

Si la maquina esta detras de una red con proxy BIEN configurado, solo se da acceso a lo que tu quieres, en mi caso donde trabajo SOLO esta abierto el puerto 80 de salida, UNICAMENTE.

No se tiene acceso por ningun otro puerto, la unica forma de "meterse" en algun equipo de mi red es mediante tunelacion autorizada, ademas de que si la IP de la maquina, RICOH en este caso, es de un rango PRIVADO Clase A, B y C, no seria accesible desde internet como IP unica, en teoria al menos.

Otra cuestion es por que determinadas redes "grandes" como universidades, tienen configuradas sus maquinas en redes "publicas" de acceso "desde fuera".

Anónimo dijo...

Corcholis... si hasta las imagenes parecene idénticas.....

http://blogs.protegerse.com/laboratorio/2012/11/12/paneles-web-de-impresoras-una-suculenta-fuente-de-informacion-para-los-atacantes/

Anónimo dijo...

Chema expone el caso para la visibilidad en Internet, pero pensad en la propia casa; cualquier persona con mínimos conocimientos en la red interna puede sacar información muy jugoso o sacar provecho de esto, internet es lo de menos...

salu2!

amenazasenlared dijo...

Esto nos enseña lo fácil que puede ser para un hacker sacar información sensible de un empresa, yo creo que las empresas que distribuyen estas impresoras y fax deberían de remediarlo de alguna forma que no creo que sea tan difícil.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares