Yazıcılarındaki Bilgiler

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking'i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

İnternette, varsayılan/zayıf oturum açma kimlik bilgileriyle yapılandırılmış yazıcıların tehlikelerini vurgulayan birkaç blog bulunmaktadır.
Bunun nedeni, bir saldırganın yazıcıyı sahte bir LDAP sunucusuna kimlik doğrulaması yapmaya kandırabilmesidir (genellikle bir nc -vv -l -p 389 veya slapd -d 2 yeterlidir) ve yazıcının kimlik bilgilerini düz metin olarak yakalayabilmesidir.

Ayrıca, birçok yazıcı kullanıcı adlarıyla günlükler içerecek veya hatta Tüm kullanıcı adlarını Alan Denetleyicisinden indirebilecek yeteneğe sahip olabilir.

Tüm bu hassas bilgiler ve yaygın güvenlik eksiklikleri, yazıcıları saldırganlar için çok ilginç hale getiriyor.

Konu hakkında bazı tanıtıcı bloglar:


Yazıcı Yapılandırması

  • Konum: LDAP sunucu listesi genellikle web arayüzünde bulunur (örneğin, Ağ ➜ LDAP Ayarı ➜ LDAP Kurulumu).
  • Davranış: Birçok gömülü web sunucusu, kimlik bilgilerini yeniden girmeden LDAP sunucu değişikliklerine izin verir (kullanılabilirlik özelliği → güvenlik riski).
  • Sömürü: LDAP sunucu adresini saldırganın kontrolündeki bir ana bilgisayara yönlendirin ve yazıcının size bağlanmasını sağlamak için Bağlantıyı Test Et / Adres Defteri Senkronizasyonu düğmesini kullanın.

Kimlik Bilgilerini Yakalama

Yöntem 1 – Netcat Dinleyici

bash
sudo nc -k -v -l -p 389     # LDAPS → 636 (or 3269)

Küçük/eski MFP'ler, netcat'in yakalayabileceği basit bir simple-bind açık metin olarak gönderebilir. Modern cihazlar genellikle önce anonim bir sorgu yapar ve ardından bind denemesi yapar, bu nedenle sonuçlar değişkenlik gösterir.

Yöntem 2 – Tam Rogue LDAP sunucusu (önerilir)

Birçok cihaz, kimlik doğrulamadan önce anonim bir arama yapacağından, gerçek bir LDAP daemon'u kurmak çok daha güvenilir sonuçlar verir:

bash
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd   # set any base-DN – it will not be validated

# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///"      # only LDAP, no LDAPS

Yazıcı arama işlemini gerçekleştirdiğinde, hata ayıklama çıktısında açık metin kimlik bilgilerini göreceksiniz.

💡 Ayrıca impacket/examples/ldapd.py (Python rogue LDAP) veya Responder -w -r -f kullanarak LDAP/SMB üzerinden NTLMv2 hash'lerini toplayabilirsiniz.


Son Geçiş Geri Dönüş Açıkları (2024-2025)

Geçiş geri dönüşü teorik bir sorun değildir – satıcılar 2024/2025'te bu saldırı sınıfını tam olarak tanımlayan bildirimler yayınlamaya devam ediyor.

Xerox VersaLink C70xx MFP'lerin 57.69.91 veya daha düşük yazılımı, kimlik doğrulaması yapılmış bir yöneticinin (veya varsayılan kimlik bilgileri kaldığında herhangi birinin) şunları yapmasına izin verdi:

  • CVE-2024-12510 – LDAP geçiş geri dönüşü: LDAP sunucu adresini değiştirmek ve bir arama tetiklemek, cihazın yapılandırılmış Windows kimlik bilgilerini saldırgan kontrolündeki ana bilgisayara sızdırmasına neden olur.
  • CVE-2024-12511 – SMB/FTP geçiş geri dönüşü: scan-to-folder hedefleri aracılığıyla benzer bir sorun, NetNTLMv2 veya FTP açık metin kimlik bilgilerini sızdırır.

Basit bir dinleyici şöyle olabilir:

bash
sudo nc -k -v -l -p 389     # capture LDAP bind

veya bir rogue SMB sunucusu (impacket-smbserver) kimlik bilgilerini toplamak için yeterlidir.

Canon imageRUNNER / imageCLASS – Tavsiye 20 Mayıs 2025

Canon, birçok Laser ve MFP ürün serisinde bir SMTP/LDAP pass-back zayıflığını doğruladı. Yönetici erişimine sahip bir saldırgan, sunucu yapılandırmasını değiştirebilir ve LDAP veya SMTP için saklanan kimlik bilgilerini alabilir (birçok kuruluş, tarama için e-posta göndermeye izin vermek amacıyla ayrıcalıklı bir hesap kullanır).

Satıcı kılavuzu açıkça şunları önermektedir:

  1. Mevcut olduğunda yamanmış firmware ile güncelleme yapın.
  2. Güçlü, benzersiz yönetici parolaları kullanın.
  3. Yazıcı entegrasyonu için ayrıcalıklı AD hesaplarından kaçının.

Otomatik Sayım / Sömürü Araçları

AraçAmaçÖrnek
PRET (Printer Exploitation Toolkit)PostScript/PJL/PCL kötüye kullanımı, dosya sistemi erişimi, varsayılan kimlik bilgileri kontrolü, SNMP keşfipython pret.py 192.168.1.50 pjl
PraedaHTTP/HTTPS üzerinden yapılandırma (adres defterleri ve LDAP kimlik bilgileri dahil) toplamaperl praeda.pl -t 192.168.1.50
Responder / ntlmrelayxSMB/FTP pass-back'ten NetNTLM hash'lerini yakalama ve iletmeresponder -I eth0 -wrf
impacket-ldapd.pyDüz metin bağlamalarını almak için hafif rogue LDAP servisipython ldapd.py -debug

Güçlendirme & Tespit

  1. Yamanız / firmware güncellemesi MFP'leri zamanında yapın (satıcı PSIRT bültenlerini kontrol edin).
  2. En Az Ayrıcalık Hizmet Hesapları – LDAP/SMB/SMTP için asla Domain Admin kullanmayın; salt okunur OU kapsamları ile sınırlayın.
  3. Yönetim Erişimini Kısıtlayın – yazıcı web/IPP/SNMP arayüzlerini bir yönetim VLAN'ında veya bir ACL/VPN arkasında yerleştirin.
  4. Kullanılmayan Protokolleri Devre Dışı Bırakın – FTP, Telnet, raw-9100, eski SSL şifreleri.
  5. Denetim Günlüğü Oluşturmayı Etkinleştirin – bazı cihazlar LDAP/SMTP hatalarını syslog yapabilir; beklenmeyen bağlamaları ilişkilendirin.
  6. Alışılmadık Kaynaklarda Düz Metin LDAP bağlamalarını İzleyin (yazıcılar normalde yalnızca DC'lerle iletişim kurmalıdır).
  7. SNMPv3 veya SNMP'yi devre dışı bırakın – topluluk public genellikle cihaz ve LDAP yapılandırmasını sızdırır.

Referanslar

  • https://grimhacker.com/2018/03/09/just-a-printer/
  • Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Şubat 2025.
  • Canon PSIRT. “Lazer Yazıcılar ve Küçük Ofis Çok Fonksiyonlu Yazıcılar için SMTP/LDAP Passback'e Karşı Zayıflık Azaltma.” Mayıs 2025.

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking'i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin