About Teletype
Join
Leakinfo
@leakinfo
May 29, 2022

Хакер - Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ

https://t.me/hacker_frei

Валентин Холмогоров

Содержание статьи

  • Получение доступа к файловой системе
  • Похищение информации
  • Выводы

Уяз­вимос­ти обна­ружи­вают не толь­ко в опе­раци­онных сис­темах и соф­те для компь­юте­ров или мобиль­ных устрой­ств. Иссле­дова­тели из SEC Consult Vulnerability Lab недав­но наш­ли любопыт­ную уяз­вимость в мно­гофун­кци­ональ­ных устрой­ствах Konica Minolta и рас­ска­зали о том, как на ее исправ­ление пов­лияла эпи­демия COVID-19.

Проб­лема акту­аль­на для нес­коль­ких моделей МФУ Konica Minolta bizhub и поз­воля­ет получить пол­ный дос­туп к опе­раци­онной сис­теме на чте­ние и запись от име­ни поль­зовате­ля root. Прав­да, есть нюанс: для это­го нуж­но иметь непос­редс­твен­ный физичес­кий кон­такт с сен­сорным дис­пле­ем МФУ и воз­можность под­клю­чить к нему внеш­нюю кла­виату­ру.

Ког­да речь заходит о прин­терах, чаще все­го уяз­вимос­ти находят в драй­верах, сер­висных прог­раммах, веб‑при­ложе­ниях самого прин­тера или в реали­зации сетевых про­токо­лов этих устрой­ств. Ребята из SEC Consult пош­ли нем­ного дру­гим путем и сос­редото­чились на железе. Вооб­ще, сов­ремен­ный лазер­ный прин­тер — это по боль­шому сче­ту самый обык­новен­ный компь­ютер, раз­ве что пред­назна­чен он для реали­зации одной‑единс­твен­ной фун­кции: печати изоб­ражения на бумаге. В нем есть устрой­ства вво­да — сен­сорный дис­плей, неболь­шая кла­виату­ра, пор­ты USB и RJ-45, пос­ледова­тель­ные интерфей­сы, а некото­рые модели даже обо­рудо­ваны счи­тыва­теля­ми RFID для аутен­тифика­ции поль­зовате­лей.

МФУ обыч­но вза­имо­дей­ству­ет с поль­зовате­лем через при­ложе­ние с гра­фичес­ким интерфей­сом, которое запуще­но в пол­ноэк­ранном режиме поверх *nix-сов­мести­мой опе­раци­онной сис­темы, при этом к самой ОС прин­тера поль­зователь непос­редс­твен­ного дос­тупа не име­ет. Все дей­ствия в сис­теме, которые при­ложе­ние совер­шает при нажатии физичес­ких кно­пок или экранных объ­ектов на сен­сорном дис­плее прин­тера, выпол­няют­ся от име­ни неав­торизо­ван­ного поль­зовате­ля с огра­ничен­ными при­виле­гиями. По край­ней мере, так дол­жно быть в теории.

В сво­ем ис­сле­дова­нии спе­циалис­ты SEC Consult рас­ска­зали о том, что при работе с МФУ Konica Minolta bizhub C3300i и C3350i они замети­ли стран­ную ано­малию. А имен­но: внеш­ний вид гра­фичес­кого при­ложе­ния на сен­сорном экра­не прин­тера нем­ного менял­ся в зависи­мос­ти от кон­тек­ста нажима­емых ими кно­пок и выбира­емых меню. Это поз­волило пред­положить, что, помимо собс­твен­ной прог­раммы для работы с устрой­ством, в МФУ исполь­зуют­ся и дру­гие стан­дар­тные при­ложе­ния, вхо­дящие в ком­плект пос­тавки опе­раци­онной сис­темы. Для про­вер­ки этой гипоте­зы иссле­дова­тели под­клю­чили к прин­теру внеш­нюю USB-кла­виату­ру и, нажимая раз­ные сочета­ния кла­виш, сумели запус­тить на экра­не бра­узер Chromium. Воз­никло подоз­рение, что таким обра­зом они могут получить и дос­туп к фай­ловой сис­теме прин­тера, вклю­чая фай­лы кон­фигура­ции, сох­ранен­ные пароли и про­чие кон­фиден­циаль­ные дан­ные.

«Подопыт­ный» Konica Minolta bizhub C3300i — с помощью это­го дис­плея и про­вели прак­тичес­ки весь «взлом» (иллюс­тра­ция с сай­та sec-consult.com)

ПОЛУЧЕНИЕ ДОСТУПА К ФАЙЛОВОЙ СИСТЕМЕ

Дис­плей на МФУ Konica Minolta, как и на мно­гих дру­гих подоб­ных офис­ных устрой­ствах, нужен, что­бы управлять оче­редью печати, ска­ниро­вать изоб­ражения и изме­нять нас­трой­ки прин­тера. Для вза­имо­дей­ствия с поль­зовате­лем Konica Minolta исполь­зует самопис­ную прог­рамму, но некото­рые ее фун­кции реали­зова­ны в виде веб‑при­ложе­ния. Так, если на сен­сорном экра­не Minolta Bizhub C3300i перей­ти в раз­дел User authentication, нажать кноп­ку Public User Access, затем выб­рать на открыв­шемся экра­не раз­дел Utility, а затем еще раз Utility, откро­ется встро­енная спра­воч­ная сис­тема прин­тера. Она реали­зова­на в виде веб‑при­ложе­ния, для отоб­ражения которо­го откры­вает­ся стан­дар­тный бра­узер Chromium в пол­ноэк­ранном режиме («режиме киос­ка») без каких‑либо панелей, рамок и про­чих эле­мен­тов интерфей­са — иссле­дова­тели опре­дели­ли это по изме­нению внеш­него офор­мле­ния при­ложе­ния.

Веб‑при­ложе­ние в МФУ Konica Minolta (иллюс­тра­ция с сай­та sec-consult.com)

Ес­ли в этот момент под­клю­чить к прин­теру внеш­нюю кла­виату­ру (все МФУ дан­ной серии осна­щены USB-пор­том) и поп­робовать стан­дар­тные сочета­ния кла­виш, то мож­но убе­дить­ся, что боль­шинс­тво из них занесе­но в «чер­ный спи­сок» и не сра­баты­вает. Одна­ко, если нажать кла­вишу F12, на экра­не откро­ется кон­соль раз­работ­чика Chromium — эту фун­кцию соз­датели соф­та для прин­тера почему‑то забанить забыли.

Кон­соль раз­работ­чиков

Те­перь мож­но открыть вклад­ку Filesystem, нажать ссыл­ку Add folder to workspace и добавить в кон­соль раз­работ­чика любую пап­ку в фай­ловой сис­теме прин­тера, которая будет дос­тупна на чте­ние и запись, пос­коль­ку Chromium работа­ет в этой ОС с при­виле­гиями поль­зовате­ля root. На иллюс­тра­ции выше иссле­дова­тели из SEC Consult добави­ли в рабочее окру­жение кон­соли раз­работ­чика пап­ку /var/log/nginx/html/.

ПОХИЩЕНИЕ ИНФОРМАЦИИ

В упо­мяну­той пап­ке хра­нит­ся файл с име­нем ADMINPASS, в котором содер­жится пароль адми­нис­тра­тора для тер­минала прин­тера и веб‑интерфей­са, при­чем в виде обыч­ного тек­ста.

Па­роль адми­на Konica Minolta хра­нит­ся в pain text (иллюс­тра­ция с сай­та sec-consult.com)

Ана­логич­ным обра­зом мож­но получить дос­туп и к дру­гим объ­ектам в фай­ловой сис­теме прин­тера, нап­ример к фай­лу /etc/shadow, где соб­рана информа­ция о паролях для учет­ных записей поль­зовате­лей. Содер­жимое фай­ла зашиф­ровано с помощью биб­лиотеч­ной фун­кции crypt и потому при желании может быть рас­шифро­вано без осо­бого тру­да.

Дос­туп к /etc/shadow (иллюс­тра­ция с сай­та sec-consult.com)

Все это говорит о том, что раз­работ­чики встро­енно­го соф­та для аппа­ратов Konica Minolta не слиш­ком заботи­лись о наз­начении пра­виль­ных раз­решений для фай­лов и папок в исполь­зуемой ими ОС.

С исполь­зовани­ем пол­ного дос­тупа к фай­ловой сис­теме МФУ зло­умыш­ленник может реали­зовать нес­коль­ко видов атак. Если прин­тер работа­ет в какой‑либо орга­низа­ции, на его дис­плей мож­но вывес­ти фей­ковое окно авто­риза­ции для сбо­ра паролей от поль­зователь­ских учет­ных записей. Еще мож­но отправ­лять копии всех отска­ниро­ван­ных докумен­тов в общую пап­ку на SMB-сер­вере, отку­да впос­ледс­твии их нет­рудно заб­рать, если зло­умыш­ленни­ки име­ют дос­туп к сети пред­при­ятия или обо­рудо­ванию.

Ис­сле­дова­тели, в час­тнос­ти, пред­лага­ют такой сце­нарий. Если зло­дей кон­тро­лиру­ет сер­вер или шлюз в сети, к которой под­клю­чен прин­тер, он может запус­тить на нем свое веб‑при­ложе­ние и с помощью коман­ды document.location=[IP-адрес:порт] в кон­соли раз­работ­чика наз­начить его в качес­тве при­ложе­ния по умол­чанию (откры­вает­ся при нажатии на кноп­ку ска­ниро­вания докумен­та). На сле­дующем рисун­ке показа­но такое под­дель­ное при­ложе­ние, соз­данное спе­циалис­тами SEC Consult, — на пер­вый взгляд его невоз­можно отли­чить от стан­дар­тно­го диало­гово­го окна, демонс­три­руемо­го прин­тером.

Под­дель­ное диало­говое окно ска­ниро­вания докумен­та (иллюс­тра­ция с сай­та sec-consult.com)

Все отска­ниро­ван­ные на таком ском­про­мети­рован­ном МФУ докумен­ты будут попадать в рас­шарен­ную пап­ку на сер­вере, отку­да впос­ледс­твии их без тру­да ска­чают зло­умыш­ленни­ки.

ВЫВОДЫ

Сог­ласно пред­став­ленной иссле­дова­теля­ми информа­ции, уяз­вимос­ти под­верже­ны 46 моделей МФУ Konica Minolta bizhub, а количес­тво зат­ронутых устрой­ств исчисля­ется сот­нями тысяч по все­му миру. Инци­дент был впер­вые выяв­лен в 2019 году, и экспер­ты сво­евре­мен­но опо­вес­тили изго­тови­телей обо­рудо­вания о сво­ей наход­ке. Уяз­вимость с получе­нием дос­тупа к фай­ловой сис­теме прин­тера обоз­начили как CVE-2022-29586, воз­можность запус­ка Chromium с пра­вами root — CVE-2022-29587, а пароли, хра­нящи­еся в откры­том виде в фай­ловой сис­теме, — CVE-2022-29588.

Konica Minolta выпус­тила патч для про­шив­ки сво­их устрой­ств, но с момен­та обна­руже­ния уяз­вимос­тей (2019 год) до момен­та пуб­ликации све­дений о них прош­ло без малого три года. Экспер­ты SEC Consult утвер­жда­ют, что основной при­чиной такой мед­литель­нос­ти ста­ла пан­демия CONID-19: в МФУ Konica Minolta отсутс­тву­ет цен­тра­лизо­ван­ная сис­тема авто­мати­чес­кой уста­нов­ки обновле­ний, поэто­му для накаты­вания пат­ча необ­ходимо физичес­кое при­сутс­твие сер­висно­го инже­нера. Пос­коль­ку в пери­од пан­демии очень мно­гие ком­пании переш­ли на уда­лен­ку, быс­тро обно­вить про­шив­ку устрой­ств на тер­ритории заказ­чика во мно­гих стра­нах ста­ло поп­росту невоз­можно. По этой же при­чине очень мно­гие МФУ дан­ного про­изво­дите­ля все еще уяз­вимы перед подоб­ными видами атак — сер­висные инже­неры Konica Minolta посети­ли еще не все отда­лен­ные угол­ки нашей пла­неты.

В любом слу­чае самый прос­той и надеж­ный спо­соб защиты — отклю­чить под­дер­жку внеш­них USB-кла­виатур в нас­трой­ках прин­тера. Как бы то ни было, перед нами — один из доволь­но ред­ких слу­чаев, ког­да в безопас­ности слож­ного тех­ничес­кого устрой­ства обна­ружи­вает­ся серь­езная брешь, выз­ванная архи­тек­турны­ми проб­лемами, преж­де все­го исполь­зовани­ем проп­риетар­ным соф­том стан­дар­тных ком­понен­тов ОС для орга­низа­ции интерфей­са с поль­зовате­лем. Вто­рая важ­ная при­чина воз­никно­вения уяз­вимос­ти — раз­работ­чики уде­ляли недос­таточ­но вни­мания пра­вам и раз­решени­ям дос­тупа к кри­тичес­ки важ­ным объ­ектам фай­ловой сис­темы. Ну и усу­губи­ло проб­лему отсутс­твие цен­тра­лизо­ван­ной сис­темы обновле­ния про­шивок в МФУ Konica Minolta — из‑за это­го исправ­ление най­ден­ных оши­бок очень рас­тянулось во вре­мени.

Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei

Leakinfo
May 29, 2022, 19:44
0 reactions
0 views