Вход в заднюю дверь или пентест сетевых принтеров и МФУ

Введение

В данной статье мы с вами затронем анализ сетевых принтеров/МФУ в компании. Каждый из Вас наверное замечал, что данные устройства стоят почти в каждом кабинете и этаже (последнее более опасно, так как доступ к данным устройствам может получить любой человек: сотрудник компании, внешний гость или подрядная организация).

Многие компании не выполняют необходимые мероприятия по предварительной до настройке данных устройств, а данные хосты могут быть уязвимым звеном в периметре информационной системы.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Доступ

Приступим к первому этапу компрометации наших устройств - это непосредственный доступ к административной панели. Доступ к ней мы можем получить двумя способами:

• Через беспроводную точку доступа на принтере (если включена в функционал) за периметром компании/в периметре компании.

• Через непосредственное подключению к принтеру по витой паре.

Через непосредственное подключение к принтеру по витой паре

Данный вариант более быстрый так как не требует никакой парольной информации чтобы попасть в одну подсеть с принтером. 

Мы просто подключаемся через витую пару и получаем доступ к интерфейсу веб-приложения.

Через беспроводную точку доступа

Ни для кого не секрет, что все производители устанавливают стандартные пароли на свои компоненты производимых устройств, так и с беспроводными точками на самих принтерах, у каждого производителя своя парольная фраза. К примеру у многих производтелей, например HP и Pantum - 12345678.

Если стандартные пароли не подошли можно попытать судьбу и перехватить handshake через программное решение Airgeddon.

Пример запуска захвата handshake

После перехвата рукопожатия попытаться подобрать пароль через Aircrack-ng и специально созданные (через crunch) или общеизвестные словари.

Давайте представим, что нам поступила задача от Заказчика протестировать его инфраструктуру без доступа на объект. Но как оказывается многие принтеры стоят в кабинетах на границе контролируемой зоны с включенным Wi-Fi Direct и мы можем на них воздействовать не заходя на периметр Заказчика.

Запустим, находясь на улице, наше решение Airgeddon, и сделаем следующие действия:

• Переведем наш WiFi-адаптер в режим мониторинга.

Перевод интерфейса в режим монитора

• Осуществим поиск необходимой нам цели.

Меню инструментов для работы с handshake/PMKID

Поиск цели

• Отправим команду на Disconnect и перехватим handshake.

Успешный захват handshake

Путь до cap-файла

• Подберем пароль по заранее подготовленному словарю.

Подбор пароля

Ну что же... как видим мы получили пароль от WiFi Direct нашего сетевого принтера и можем спокойно к нему подключиться и открыть web-интерфейс админпанели.

Обход слабых парольных политик

Доступ к настройкам большинства МФУ предоставляется через веб-интерфейс. 

Пример страницы авторизации

По умолчнию в данных формах авторизации используются стандартные логины и пароли и в большинстве случаев перед вводом в эксплутацию данные пароли не заменяют на более надежные (более 10 символов, верхний и нижний регистр, спецсимволы).

Ниже приведены логины и пароли от на более распространенных производителе МФУ:

• Pantum admin 000000

• Epson epson epson

• Epson EPSONWEB admin

• Canon ADMIN canon

• Kyocera Admin Admin

• Xerox Admin 1111

• Brother admin access

• HP admin admin или blank

Более подробную информацию о логинах и паролях по определенной модели можно найти в электронной инструкции в сети Интернет.

Если в результате проверки стандартных учетных записей они не подошли мы можем выполнить брутфорс пароля через Burp Suite Professional по заранее сгенерированным словарям.

Брутфорс пароля от администратора

Сбор чувствительной информации

После получения доступа в админпанель и анализа конфигурации наших принтеров/МФУ можно выявить адреса публичных SMB-шар и доступных по анонимной авторизации FTP-серверов.

Компрометация учетных данных через конфигурацию LDAP

В рамках данной атаки мы с вами рассмотрим другое МФУ - Konica Minolta Bizhub C224 с возможностью подключения к LDAP-серверу.

Контроллер домена с созданными УЗ

Перед началом атаки развернем контроллер домена организации и создадим на нем доменную учетную запись share_printer и Ivanov_I.

И так, у нас имеется: AD-сервер по адресу 192.168.1.114 и принтер по адресу 192.168.1.119. По легенде мы уже получили доступ к веб-интерфейсу МФУ любым из описанных способов выше, теперь можем приступать к атаке...

Компрометация учетной записи для подключения к LDAP-серверу

Зайдем в настройки интеграции с LDAP-сервером (Network -> LDAP Settings -> Setting UP LDAP) и проверим подключение.

Конфигурация интеграции с LDAP-сервером

Успешная проверка подключения к LDAP-серверу

Настроки данного профиля выглядят следующим образом:

Настройки профиля GISCYBERTEAM

Заменим исходный IP-адрес на наш - 192.168.1.52,где развернем поддельный LDAP-сервер.

Измененные настройки профиля GISCYBERTEAM

Запустим на нашем хосте Metasploit Framework и выберем модуль имитации службы LDAP для сбора аутентификационной информации клиента, пытающегося пройти аутентификацию в службе LDAP.

┌──(gorillahacker㉿GORILLAHACKER)-[~]
└─$ msfconsole

Metasploit Documentation: https://docs.metasploit.com/

msf6 > auxiliary/server/capture/ldap
msf6 auxiliary(server/capture/ldap) > set srvhost 192.168.1.52
srvhost => 192.168.1.52
msf6 auxiliary(server/capture/ldap) > run
[*] Server started.

Результат перехвата логина и пароля для подключения к LDAP-серверу

Как видим у нас получилось узнать пароль от сервисной учетной записи share_printer.

Компрометация учетной записи пользователя, использующего авторизацию по LDAP

Немного проанализируем наше МФУ и в разделе User Auth/Account Track -> External Server Settings -> External Server Settings найдем запись, где указана возможность подключения по LDAP пользователю Ivanov_I.

Запись на подключение по LDAP

Заменим также исходный IP-адрес на поддельный адрес 192.168.1.52 и дождемся попытки подключения пользователя в веб-интерфейс нашей административной панели.

Подключение пользователя Ivanov_I через LDAP

Как видно ниже нам успешно удалось перехватить учетные записи нашего пользователя.

Результат перехвата логина и пароля пользователя по авторизации через LDAP

Компрометация почтовой учетной записи через конфигурацию SMTP

Вернемся к нашему принтеру Pantum M6550NW и откроем настройки входа принтера на SMTP-сервер.

Данные по подключению к SMTP-серверу

Как видим на нашем принтере предварительно настроена авторизация на данном сервере, но, к сожалению, посмотреть парольную информацию мы не можем, так как она скрыта от нас.

Но давайте попробуем ее узнать. Для этого выполним следующие действия:

• Поднимем SMTP-сервер через Responder.

Запуск Responder

Изменим адрес SMTP-сервера на наш - 192.168.223.101.

Подмена SMTP-сервера

Отправим тестовое сообщение на наш адрес.

Отправка тестового сообщения

Перехват пароля

Как видим в одном из перехваченном поле засветился наш пароль (хоть и стоит не там где надо=)).

Таким образом мы скомпрометировали почтовую учетную запись, и в дальнейшем можем использовать ее для: 

• компрометации сети (если с нее все таки есть возможность подключения); 

• обогащения нашего словаря для брутфорса и спреинга;

• изучения всех писем в данном почтовом ящике на предмет компрометации активов инфраструктуры.

Заключение

В нашей статье мы с Вами рассмотрели варианты компрометации принтеров и МФУ, а также возможные векторы атак на данные устройства. Полученную информацию в рамках данной активности можно использовать для дальнейшей компрометации тестируемой инфраструктуры.

Подписывайтесь на наш Telegram-канал https://t.me/giscyberteam