Інформація в принтерах

Є кілька блогів в Інтернеті, які підкреслюють небезпеки залишення принтерів, налаштованих з LDAP з за замовчуванням/слабкими обліковими даними для входу.
Це пов'язано з тим, що зловмисник може змусити принтер аутентифікуватися проти підробленого LDAP-сервера (зазвичай nc -vv -l -p 389 або slapd -d 2 достатньо) і захопити облікові дані принтера у відкритому вигляді.

Крім того, кілька принтерів міститимуть журнали з іменами користувачів або навіть можуть завантажити всі імена користувачів з контролера домену.

Вся ця чутлива інформація та загальна відсутність безпеки роблять принтери дуже цікавими для зловмисників.

Декілька вступних блогів на цю тему:

• https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/
• https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856

Налаштування принтера

• Місцезнаходження: Список LDAP-серверів зазвичай знаходиться в веб-інтерфейсі (наприклад, Мережа ➜ Налаштування LDAP ➜ Налаштування LDAP).
• Поведение: Багато вбудованих веб-серверів дозволяють модифікацію LDAP-сервера без повторного введення облікових даних (функція зручності → ризик безпеки).
• Експлуатація: Перенаправте адресу LDAP-сервера на хост, контрольований зловмисником, і використовуйте кнопку Тестування з'єднання / Синхронізація адресної книги, щоб змусити принтер підключитися до вас.

Захоплення облікових даних

Метод 1 – Слухач Netcat

sudo nc -k -v -l -p 389     # LDAPS → 636 (or 3269)

Малі/старі МФП можуть надсилати простий simple-bind у відкритому тексті, який може захопити netcat. Сучасні пристрої зазвичай спочатку виконують анонімний запит, а потім намагаються виконати прив'язку, тому результати варіюються.

Метод 2 – Повний Rogue LDAP сервер (рекомендується)

Оскільки багато пристроїв виконують анонімний пошук перед автентифікацією, налаштування реального LDAP демона дає набагато надійніші результати:

# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd   # set any base-DN – it will not be validated

# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///"      # only LDAP, no LDAPS

Коли принтер виконує свій запит, ви побачите облікові дані у відкритому тексті в налагоджувальному виводі.

💡 Ви також можете використовувати impacket/examples/ldapd.py (Python rogue LDAP) або Responder -w -r -f для збору NTLMv2 хешів через LDAP/SMB.

Останні вразливості Pass-Back (2024-2025)

Pass-back не є теоретичною проблемою – постачальники продовжують публікувати рекомендації в 2024/2025, які точно описують цей клас атак.

Xerox VersaLink – CVE-2024-12510 & CVE-2024-12511

ПЗ ≤ 57.69.91 принтерів Xerox VersaLink C70xx MFP дозволяло автентифікованому адміністратору (або будь-кому, коли залишаються стандартні облікові дані):

• CVE-2024-12510 – LDAP pass-back: змінити адресу LDAP сервера та ініціювати запит, що призводить до витоку налаштованих облікових даних Windows на хост, контрольований зловмисником.
• CVE-2024-12511 – SMB/FTP pass-back: ідентична проблема через scan-to-folder призначення, витікаючи NetNTLMv2 або FTP облікові дані у відкритому тексті.

Простий слухач, такий як:

sudo nc -k -v -l -p 389     # capture LDAP bind

or rogue SMB server (impacket-smbserver) достатньо для збору облікових даних.

Canon imageRUNNER / imageCLASS – Повідомлення 20 травня 2025

Canon підтвердила вразливість SMTP/LDAP pass-back у десятках продуктів Laser & MFP. Зловмисник з адміністративним доступом може змінити конфігурацію сервера та отримати збережені облікові дані для LDAP або SMTP (багато організацій використовують привілейований обліковий запис для дозволу сканування на електронну пошту).

Рекомендації постачальника чітко вказують:

1. Оновити до виправленого програмного забезпечення, як тільки воно стане доступним.
2. Використовувати сильні, унікальні паролі адміністратора.
3. Уникати привілейованих облікових записів AD для інтеграції принтерів.

Інструменти автоматизованої енумерації / експлуатації

Укріплення та виявлення

1. Виправлення / оновлення прошивки MFP негайно (перевірте бюлетені PSIRT постачальника).
2. Облікові записи служб з найменшими привілеями – ніколи не використовуйте Domain Admin для LDAP/SMB/SMTP; обмежте до тільки для читання OU обсягів.
3. Обмежити доступ до управління – розмістіть веб/IPP/SNMP інтерфейси принтера в управлінському VLAN або за ACL/VPN.
4. Вимкнути невикористовувані протоколи – FTP, Telnet, raw-9100, старі SSL шифри.
5. Увімкнути журналювання аудиту – деякі пристрої можуть syslog LDAP/SMTP збої; корелюйте несподівані зв'язки.
6. Моніторинг зв'язків LDAP у відкритому тексті з незвичних джерел (принтери зазвичай повинні спілкуватися лише з DC).
7. SNMPv3 або вимкнути SNMP – спільнота public часто витікає конфігурацію пристрою та LDAP.

Посилання

• https://grimhacker.com/2018/03/09/just-a-printer/
• Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Лютий 2025.
• Canon PSIRT. “Зменшення вразливостей проти SMTP/LDAP Passback для лазерних принтерів та багатофункціональних принтерів для малих офісів.” Травень 2025.