Πληροφορίες σε Εκτυπωτές

Reading time: 6 minutes

Υπάρχουν αρκετά blogs στο Διαδίκτυο που τονίζουν τους κινδύνους του να αφήνουμε τους εκτυπωτές ρυθμισμένους με LDAP με προεπιλεγμένα/αδύναμα διαπιστευτήρια σύνδεσης.
Αυτό συμβαίνει επειδή ένας επιτιθέμενος θα μπορούσε να παραπλανήσει τον εκτυπωτή να πιστοποιηθεί σε έναν κακόβουλο LDAP server (συνήθως ένα nc -vv -l -p 389 ή slapd -d 2 είναι αρκετό) και να καταγράψει τα διαπιστευτήρια του εκτυπωτή σε καθαρό κείμενο.

Επίσης, αρκετοί εκτυπωτές θα περιέχουν αρχεία καταγραφής με ονόματα χρηστών ή θα μπορούσαν ακόμη και να είναι σε θέση να κατεβάσουν όλα τα ονόματα χρηστών από τον Domain Controller.

Όλες αυτές οι ευαίσθητες πληροφορίες και η κοινή έλλειψη ασφάλειας καθιστούν τους εκτυπωτές πολύ ενδιαφέροντες για τους επιτιθέμενους.

Ορισμένα εισαγωγικά blogs σχετικά με το θέμα:

• https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/
• https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856

Ρύθμιση Εκτυπωτή

• Τοποθεσία: Η λίστα των LDAP servers συνήθως βρίσκεται στη διαδικτυακή διεπαφή (π.χ. Δίκτυο ➜ Ρύθμιση LDAP ➜ Ρύθμιση LDAP).
• Συμπεριφορά: Πολλοί ενσωματωμένοι διαδικτυακοί διακομιστές επιτρέπουν τροποποιήσεις LDAP server χωρίς να απαιτείται εκ νέου εισαγωγή διαπιστευτηρίων (χαρακτηριστικό χρηστικότητας → κίνδυνος ασφάλειας).
• Εκμετάλλευση: Ανακατευθύνετε τη διεύθυνση του LDAP server σε έναν ελεγχόμενο από τον επιτιθέμενο υπολογιστή και χρησιμοποιήστε το κουμπί Δοκιμή Σύνδεσης / Συγχρονισμός Καταλόγου για να αναγκάσετε τον εκτυπωτή να συνδεθεί σε εσάς.

Καταγραφή Διαπιστευτηρίων

Μέθοδος 1 – Netcat Listener

sudo nc -k -v -l -p 389     # LDAPS → 636 (or 3269)

Μικρές/παλιές MFPs μπορεί να στείλουν ένα απλό simple-bind σε καθαρό κείμενο που μπορεί να το καταγράψει το netcat. Οι σύγχρονες συσκευές συνήθως εκτελούν πρώτα μια ανώνυμη αναζήτηση και στη συνέχεια προσπαθούν να συνδεθούν, οπότε τα αποτελέσματα διαφέρουν.

Μέθοδος 2 – Πλήρης Rogue LDAP server (συνιστάται)

Επειδή πολλές συσκευές θα εκδώσουν μια ανώνυμη αναζήτηση πριν την αυθεντικοποίηση, η εγκατάσταση ενός πραγματικού LDAP daemon αποδίδει πολύ πιο αξιόπιστα αποτελέσματα:

# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd   # set any base-DN – it will not be validated

# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///"      # only LDAP, no LDAPS

Όταν ο εκτυπωτής εκτελεί την αναζήτησή του, θα δείτε τα διαπιστευτήρια σε καθαρό κείμενο στην έξοδο αποσφαλμάτωσης.

💡 Μπορείτε επίσης να χρησιμοποιήσετε το impacket/examples/ldapd.py (Python rogue LDAP) ή το Responder -w -r -f για να συλλέξετε NTLMv2 hashes μέσω LDAP/SMB.

Πρόσφατες Ευπάθειες Pass-Back (2024-2025)

Το pass-back δεν είναι θεωρητικό ζήτημα – οι προμηθευτές συνεχίζουν να δημοσιεύουν ανακοινώσεις το 2024/2025 που περιγράφουν ακριβώς αυτή την κατηγορία επιθέσεων.

Xerox VersaLink – CVE-2024-12510 & CVE-2024-12511

Το firmware ≤ 57.69.91 των Xerox VersaLink C70xx MFPs επέτρεπε σε έναν αυθεντικοποιημένο διαχειριστή (ή σε οποιονδήποτε όταν παραμένουν τα προεπιλεγμένα διαπιστευτήρια) να:

• CVE-2024-12510 – LDAP pass-back: αλλάξει τη διεύθυνση του διακομιστή LDAP και να ενεργοποιήσει μια αναζήτηση, προκαλώντας τη διαρροή των ρυθμισμένων Windows διαπιστευτηρίων στον ελεγχόμενο από τον επιτιθέμενο υπολογιστή.
• CVE-2024-12511 – SMB/FTP pass-back: ταυτόσημο ζήτημα μέσω scan-to-folder προορισμών, διαρρέοντας NetNTLMv2 ή FTP διαπιστευτήρια σε καθαρό κείμενο.

Ένας απλός ακροατής όπως:

sudo nc -k -v -l -p 389     # capture LDAP bind

ή ένας κακόβουλος διακομιστής SMB (impacket-smbserver) είναι αρκετός για να συλλέξει τα διαπιστευτήρια.

Canon imageRUNNER / imageCLASS – Advisory 20 Μαΐου 2025

Η Canon επιβεβαίωσε μια αδυναμία SMTP/LDAP pass-back σε δεκάδες σειρές προϊόντων Laser & MFP. Ένας επιτιθέμενος με πρόσβαση διαχειριστή μπορεί να τροποποιήσει τη διαμόρφωση του διακομιστή και να ανακτήσει τα αποθηκευμένα διαπιστευτήρια για LDAP ή SMTP (πολλές οργανώσεις χρησιμοποιούν έναν προνομιούχο λογαριασμό για να επιτρέπουν το scan-to-mail).

Οι οδηγίες του προμηθευτή συνιστούν ρητά:

1. Ενημέρωση σε διορθωμένο firmware μόλις είναι διαθέσιμο.
2. Χρήση ισχυρών, μοναδικών κωδικών διαχειριστή.
3. Αποφυγή προνομιούχων λογαριασμών AD για την ενσωμάτωση εκτυπωτών.

Αυτοματοποιημένα Εργαλεία Αρίθμησης / Εκμετάλλευσης

Σκληροποίηση & Ανίχνευση

1. Διορθώστε / ενημερώστε το firmware των MFPs άμεσα (ελέγξτε τα δελτία PSIRT του προμηθευτή).
2. Λογαριασμοί Υπηρεσιών Ελάχιστης Προνομίας – ποτέ μην χρησιμοποιείτε Domain Admin για LDAP/SMB/SMTP; περιορίστε σε μόνο-ανάγνωση OU scopes.
3. Περιορίστε την Πρόσβαση Διαχείρισης – τοποθετήστε τις διεπαφές εκτυπωτών web/IPP/SNMP σε ένα VLAN διαχείρισης ή πίσω από ένα ACL/VPN.
4. Απενεργοποιήστε Μη Χρησιμοποιούμενα Πρωτόκολλα – FTP, Telnet, raw-9100, παλαιότερους κρυπτογράφους SSL.
5. Ενεργοποιήστε την Καταγραφή Ελέγχου – ορισμένες συσκευές μπορούν να syslog LDAP/SMTP αποτυχίες; συσχετίστε απροσδόκητα binds.
6. Παρακολουθήστε για Clear-Text LDAP binds από ασυνήθιστες πηγές (οι εκτυπωτές θα πρέπει κανονικά να επικοινωνούν μόνο με DCs).
7. SNMPv3 ή απενεργοποιήστε το SNMP – η κοινότητα public συχνά διαρρέει τη διαμόρφωση συσκευής & LDAP.

Αναφορές

• https://grimhacker.com/2018/03/09/just-a-printer/
• Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Φεβρουάριος 2025.
• Canon PSIRT. “Vulnerability Mitigation Against SMTP/LDAP Passback for Laser Printers and Small Office Multifunction Printers.” Μαΐος 2025.