Durante años, los investigadores de seguridad han advertido que cada dispositivo que se deja expuesto en línea sin estar protegido por un firewall es una superficie de ataque.
Los piratas informáticos pueden implementar exploits para tomar el control del dispositivo por la fuerza, o pueden simplemente conectarse al puerto expuesto si no se requiere autenticación.
Los dispositivos pirateados de esta manera a menudo quedan esclavizados en botnets de malware, o sirven como puntos de apoyo iniciales y puertas traseras hacia redes corporativas más grandes (los piratas informáticos rusos ya utilizan esta técnica).
Sin embargo, a pesar de que esto es de conocimiento común entre los expertos en ciberseguridad y TI, todavía tenemos una gran cantidad de dispositivos que quedan expuestos en línea sin protección.
Exposición al PPI
En un informe publicado a principios de este mes, investigadores de seguridad de la Fundación Shadowserver, una organización sin fines de lucro centrada en mejorar las prácticas de seguridad cibernética en todo el mundo, publicaron una advertencia sobre las empresas que dejan sus impresoras expuestas en línea.
Más específicamente, los expertos de Shadowserver escanearon los cuatro mil millones de direcciones IPv4 enrutables en busca de impresoras que expongan su puerto IPP.
IPP significa “Protocolo de impresión de Internet” y, como su nombre indica, es un protocolo que permite a los usuarios administrar impresoras conectadas a Internet y enviar trabajos de impresión a impresoras alojadas en línea.
La diferencia entre IPP y muchos otros protocolos de administración de impresoras es que IPP es un protocolo seguro que admite funciones avanzadas como listas de control de acceso, autenticación y comunicaciones cifradas.
Sin embargo, esto no significa que los propietarios de dispositivos estén haciendo uso de alguna de estas funciones.
Los expertos de Shadowserver dijeron que escanearon específicamente Internet en busca de impresoras compatibles con IPP que quedaron expuestas sin estar protegidas por un firewall y permitieron a los atacantes consultar detalles locales a través de la función “Get-Printer-Attributes”.
En total, los expertos dijeron que normalmente encontraron un promedio de alrededor de 80.000 impresores exponiéndose diariamente en línea a través del puerto IPP.
La cifra representa aproximadamente una octava parte de todas las impresoras con capacidad IPP actualmente conectadas en línea. Un análisis normal con el motor de búsqueda BinaryEdge revela un recuento diario de entre 650.000 y 700.000 dispositivos con su puerto IPP (TCP/631) accesible a través de Internet.
Problemas al no asegurar el puerto IPP
Existen varios problemas importantes al dejar el puerto IPP completamente expuesto en línea sin ninguna protección adicional, como un firewall o un mecanismo de autenticación.
Para empezar, los expertos de Shadowserver dicen que este puerto puede usarse para recopilar inteligencia. Esto fue posible porque un gran porcentaje de impresoras compatibles con IPP devolvieron información adicional sobre sí mismas, como nombres de impresoras, ubicaciones, modelos, versiones de firmware, nombres de organizaciones e incluso nombres de redes WiFi.
Los atacantes pueden recopilar esta información y luego buscar en ella redes empresariales en las que les gustaría centrar futuros ataques.
Además, alrededor de una cuarta parte del número total de impresoras compatibles con IPP (unas 21.000) también expusieron sus detalles de marca y modelo. Los investigadores de Shadowserver dicen que exponer esta información “obviamente hace que sea mucho más fácil para los atacantes localizar y atacar poblaciones de dispositivos vulnerables a vulnerabilidades específicas”.
Para empeorar las cosas, también hay herramientas disponibles en línea para piratear PPI. Herramientas como PRET (Printer Exploitation Toolkit) respaldan el pirateo de IPP y también se han utilizado en el pasado para secuestrar impresoras y obligarlas a imprimir diversos mensajes de propaganda. Sin embargo, el mismo conjunto de herramientas también podría usarse para cosas mucho peores, como apoderarse por completo de dispositivos vulnerables.
Informe diario gratuito de exposición al IPP
La Fundación Shadowserver dice que en el futuro planea publicar informes diarios sobre la exposición al IPP en su sitio web.
“Esperamos que los datos que se comparten en nuestro nuevo informe sobre dispositivos IPP abiertos conduzcan a una reducción en el número de impresoras habilitadas para IPP expuestas en Internet, así como a crear conciencia sobre los peligros de exponer dichos dispositivos a escáneres/atacantes no autenticados. “, dijo la organización en un informe publicado este mes.
Las empresas o equipos CERT nacionales que se hayan suscrito a las alertas de seguridad de la organización recibirán notificaciones automáticas si algún servicio IPP está expuesto en línea dentro de sus redes y espacios de direcciones IP de sus países.
Sin embargo, la Fundación Shadowserver, que ha ganado bastantes seguidores en la comunidad de seguridad de la información por su trabajo en la lucha y eliminación de botnets, dice que las empresas deberían buscar proteger sus impresoras mientras aún no hayan sido explotadas.
“Es poco probable que mucha gente necesite hacer que una impresora de este tipo sea accesible para todos”, afirmó la organización. “Estos dispositivos deben tener un firewall y/o tener habilitado un mecanismo de autenticación”.
El consejo proactivo de la Fundación Shadowserver para lidiar con dispositivos expuestos a Internet es consistente con los hallazgos de un estudio académico del año pasado, que encontró que las eliminaciones de DDoS generalmente son ineficaces, y que las fuerzas del orden deberían centrarse en parchear los sistemas para limitar los vectores de ataque. utilidad para un atacante.
Para configurar las funciones de control de acceso y autenticación de IPP, se recomienda a los usuarios que consulten los manuales de sus impresoras. La mayoría de las impresoras tienen una sección de configuración IPP en su panel de administración desde donde los usuarios pueden habilitar la autenticación, el cifrado y limitar el acceso al dispositivo mediante listas de acceso.