Alfonso Maruccia

Samsung, stampanti con porta di servizio

Le stampanti di rete del produttore coreano hanno un account "segreto", e la chiave per accedervi è già a disposizione del pubblico. Una patch verrà rilasciata in tempi brevi

Roma - Alcune stampanti Samsung contengono un account admin "segreto" accessibile via rete, una "funzionalità" potenzialmente molto pericolosa sia per la stampante stessa che per gli altri sistemi connessi alla LAN locale.

A comunicare l'esistenza del problema è lo US CERT: non vengono forniti particolari dettagli sui dispositivi affetti dal problema, e Samsung si è limitata a indicare che tutte le stampanti distribuite prima del 31 ottobre scorso contengono l'admin incriminato. Coinvolte anche alcune unità marchiate Dell ma prodotte da Samsung stessa.

L'account admin codificato nelle stampanti del colosso coreano è accessibile tramite una "community string" con pieni privilegi di accesso in lettura e scrittura tramite protocollo di rete SNMP. La stringa è stata poi resa pubblica ("s!a@m#n$p%c"), e l'account admin resta attivo anche nel caso in cui il servizio SNMP fosse disabilitato dall'interfaccia di controllo della stampante.
In attesa della patch salvifica promessa da Samsung, gli utenti e gli amministratori di rete possono contemplare l'elenco dei rischi potenziali corsi dai dispositivi affetti dal problema: un account SNMP con privilegi di amministratore come quello appena individuato potrebbe portare alla compromissione non solo delle informazioni comunicate da e alla stampante, ma potrebbe anche permettere l'esecuzione di codice malevolo da remoto diretto all'attacco degli altri dispositivi (PC, ad esempio) connessi in rete.

Alfonso Maruccia
15 Commenti alla Notizia Samsung, stampanti con porta di servizio
Ordina
  • Leggendo il pezzo ci sono un paio di cose che STONANO:

    "L'account admin codificato nelle stampanti del colosso coreano è accessibile tramite una "community string" con pieni privilegi di accesso in lettura e scrittura tramite protocollo di rete SNMP. "
    - e questo e' di per se assolutamente normale... in gergo smnp (v1,v2) la 'community string' e' banalmente la password. la read-write usualmente di default e' "private". Quindi ? andiamo avanti

    "La stringa è stata poi resa pubblica ("s!a@m#n$p%c")"
    - mhh strano! (normalmente) il sistema ha un MIB, tu lo interroghi, fai il dump di tutti gli OID ai quali e' associato un valore. quindi vedresti anche questa cosa 'segreta'. e' una community string volutamente lasciata nascosta nel fw? e com'e' uscita allora? Perche guardando la cosa linkata http://l8security.com ,quello sembra un MIB preso dalla documentazione (magari inserita nei blob dei drivers M$ boh). quindi non proprio segreta... Cmq diciamo pure che sia hardcoded e offuscata nella documentazione... MA..

    "e l'account admin resta attivo anche nel caso in cui il servizio SNMP fosse disabilitato dall'interfaccia di controllo della stampante."
    - e questo manda totalmente in confusione! Se il daemon SNMP viene stoppato che diamine significa che l'account (cioe la pw) e' ancora attivo? intendera' che non puoi modificare la pw? (bella forza se e' hardcoded nel fw... e/o se non vedo l'OID)... ma che cambia se tanto e' unreachable (visto che stoppo il daemon?)

    POI finalmente leggendo il poco che dice il CERT qualcosa si capisce :
        "The reporter has stated that blocking the custom SNMP trap port of 1118/udp will help mitigate the risks."
    - AH! quindi c'e' un daemon SNMP allocato a una porta non standard! Allora (PROBABILE) e' un SECONDO daemon (probabilmente non o mal documentato), e magari non rispetta neanche granche gli standard.. e/o ha un MIB mal/nondocumentato (perche' magari e' nato per essere interrogato col software windowsiano di controllo e non da un client standard SNMP). Illazioni (non avendo dox sottomano).

    Restano ancora dubbi... ma almeno si capisce qualcosa in piu'....
    non+autenticato
  • Più che una vulnerabilità mi sembra una backdoor. Altrimenti non dovrebbe funzionare se SNMP è disabilitato. Se no è un bug veramente grosso, ed è strano che le samsung non abbiano molti altri bachi minori, visto che dal loro QA team e' passato questo.

    A cosa poteva servire? ad inoltrare quello che viene stampato? Beh un vantaggio una stampante di rete lo avrebbe, solitamente sta nella sottorete aziendale meno o per niente filtrata da firewall. Se uno riesce a usare la stampante come proxy dall'esterno ha un ottimo strumento per compromettere le altre macchine, dall'interno del network.
    non+autenticato
  • > A cosa poteva servire? ad inoltrare quello che
    > viene stampato? Beh un vantaggio una stampante di
    > rete lo avrebbe, solitamente sta nella sottorete
    > aziendale meno o per niente filtrata da firewall.

    Ma sei sicuro? Le stampanti sono host come gli altri, perchè mai dovrebbero stare su una sottorete diversa? Anzi, al contrario di altri host a volte non hanno neppure gateway e dns configurati

    > Se uno riesce a usare la stampante come proxy
    > dall'esterno ha un ottimo strumento per
    > compromettere le altre macchine, dall'interno del
    > network.

    Ma come si fa ad usare una stampante come proxy?? ci devi mettere del software tuo o sbaglio?
    non+autenticato
  • Scusate, parlando pure tecnicamente, quali rischi derivano da questo problema?
    Per quel che ne so io, se ho accesso in scrittura tramite SNMP posso modificare vari parametri del dispositivo, possiamo certamente "sabotarlo". Ma mi viene difficile immaginare come sia possibile portare attacchi anche a PC, come dice l'articolo.

    Lasciando stare attacchi di ingegneria sociale, quali sono i vettori di attacco che potrebbero essere sfruttati da questa vulnerabilità?

    grazie
    non+autenticato
  • - Scritto da: Nonloso
    > Scusate, parlando pure tecnicamente, quali rischi
    > derivano da questo problema?

    Esatto, mica ti fregano il toner via rete ...
    Scherzi a parte, potresti catturare forse un file mandato in stampa da terzi, ma al di fuori di un uffico legale o di un notaio non vedo il problema.
    E se fossi un notaio la stampante sarebbe seriale e nel mio ufficio.
    non+autenticato
  • La stampante di rete distribuisce i driver di stampa ai computer Windows che la installano. A quanto ne so i driver dovrebbero essere firmati, ma se la fonte è ritenuta affidabile (la stampante) c'è il rischio reale che gli utenti installino i driver così come arrivano.

    L'attacco è ovvio: un attacker potrebbe caricare dei driver malevoli tramite la backdoor SNMP, i driver vengono installati sui PC ed eseguire il codice cattivo con accesso privilegiato.
    non+autenticato
  • Sarà divertente quando si scoprirà che tutti gli smartphone samsung godono dello stesso... "a c c o u n t - s e g r e t o"
         ...............................................
         ...............................................
        ................a.c.c.0.u.n.t..................
       ...............................................
    .................5.3.9.4.3.t.0.................
    ...............................................
    ...............................................
    non+autenticato
  • sorattuto quando apple gli fara' causa perche lo avevano brevettato loroCon la lingua fuori
    non+autenticato
  • - Scritto da: nomen omen
    > sorattuto quando apple gli fara' causa perche lo
    > avevano brevettato loro
    >Con la lingua fuori

    Questa è bellissima.Sorride
    non+autenticato
  • - Scritto da: exsinistro
    > - Scritto da: nomen omen
    > > sorattuto quando apple gli fara' causa perche lo
    > > avevano brevettato loro
    > >Con la lingua fuori
    >
    > Questa è bellissima.Sorride

    Si è fantastica, complimenti Sorride
  • - Scritto da: nomen omen
    > sorattuto quando apple gli fara' causa perche lo
    > avevano brevettato loro
    >Con la lingua fuori
    Rotola dal ridereRotola dal ridereRotola dal ridere
    La migliore della settimana fino a ora!
    non+autenticato
  • - Scritto da: nomen omen
    > sorattuto quando apple gli fara' causa perche lo
    > avevano brevettato loro
    >Con la lingua fuori


    Magnifica Rotola dal ridere
    non+autenticato
  • Mi ero dimentico di loggarmi...
  • tipo un account root con password alpine?
    non+autenticato
  • - Scritto da: hp fiasco
    > tipo un account root con password alpine?

    Mi hai fregato sul tempo, lo stavo scrivendo io !A bocca aperta
    non+autenticato