Es un truco muy simple (de una manera bastante gris-hat), pero está recibiendo una gran cantidad de cobertura mediática y 160.000 impresoras de red hackeado sólo sirve para demostrar una vez más toda la Internet de las cosas que estamos entrando en el capítulo es bastante miedo.
Sin duda, un truco aunque ordenada, utilizando el poder de masas de barrido de ZMap y escaneo de puerto TCP 9100 - el puerto para el protocolo de impresión "RAW". A continuación, la codificación de un pequeño binario C para enviar el arte ASCII directamente a la cola de impresión.
Impresores de todo el mundo han sido hackeados y dio instrucciones para producir las páginas e incluso los recibos de ventas de arte ASCII alarmante.Los mensajes, que comenzaron arrojan las impresoras conectadas a Internet el jueves, leen: "Hacked. Stackoverflowin / pila del, dios todo poderoso pirata informático ha vuelto a su trono, como el mayor memegod. La impresora es parte de una red de bots en llamas. La impresora se ha PWN'D ".El malhechor se atribuyó la responsabilidad, Stackoverflowin, presume de haber secuestrado a más de 160.000 impresoras de todo el Internet y les dio instrucciones para emitir las páginas de arte ASCII. Al parecer, los dispositivos hackeados varían desde impresoras de oficina de ventas de terminales."Fue una especie de impulso," Pila dijo a The Register. "Yo había estado buscando en las impresoras por un tiempo antes de esto, unos pocos meses antes. Vi varios artículos sobre las impresoras y invoqué mi curiosidad otra vez, y sí, se fue de allí ".Stackoverflowin afirma ser menor de 18 años, a pesar de una cuenta de Twitter llamado en las impresiones describe un ingeniero de sistemas embebidos de 23 años de edad, entusiasta de la seguridad de sombrero blanco y. Se nos dice que Twitter bio se hace simplemente para arriba.El secuestrador dice que él o ella escribió un script que analiza en busca de dispositivos orientados al público inseguras con abierta RAW, el protocolo de impresión de Internet, y los servicios remotos de impresora en línea - que se ejecutan en los puertos de red 9100, 631, y 515, respectivamente - y disparó sobre los trabajos de impresión. Este es, sin duda, trivial que hacer, y se puede encontrar un montón de máquinas potencialmente vulnerables en la web a través de Shodan.io. El motor de búsqueda muestra que hay, en estos momentos, alrededor de 143.000 dispositivos de la Internet pública con el puerto 9100 abierto.
Alegrémonos por una vez no se trataba de un truco malicioso y estas impresoras no fueron convirtiendo en zombis DDoS que arrojan botnet.
Lo peor es de muchas de estas impresoras pueden tener su firmware actualizado de forma remota, sin necesidad de ningún tipo de firma de código. Lo que podría suceder allí, voy a dejar a su imaginación.
El chico también afirma haber explotado vulnerabilidades de ejecución (RCE) de código remoto en la interfaz web integrada en los productos Xerox conectados a Internet y comandar más impresoras. "Las RCE son no revelada - prácticamente cero días, pero no me gusta tirar esa palabra que mucho. Hay tres de ellos en total, "dijo Stackoverflowin.Las primeras impresiones tenían un simple mensaje acusando a la gente de desperdicio de papel, e incluía una dirección de correo electrónico Protonmail que ha sido desde deshabilitado. Esos mensajes fueron más de una prueba, Stackoverflowin explicó: "Estaba Depuración de una violación de segmento, mi código se estrellaba en alrededor de 50.000 dispositivos por alguna razón."Una segunda oleada de impresiones se produjo en dos formas: una con el arte ASCII de un ordenador, y el otro con un robot. En la versión de la computadora, se insta a los administradores de la impresora como sistema de protección de sus dispositivos de la Internet pública.A juzgar por las fotos que surgen en las redes sociales, las impresoras de todo el mundo realmente se vieron afectadas por Stackoverflowin, que dijo que era un tanto desalentador lo fácil era este truco."Solía ZMap para obtener las direcciones IP de los puertos orientados a continuación, una pequeña 'carga' que codifica en C para hacer realidad el trabajo de impresión y enviar el paquete," nos dijo Stack. "Con la mayoría de estas impresoras puede llevar a su propio firmware para ellos - el firmware no necesita ser firmado."El envío de más trabajos de impresión es una cosa. Si cualquiera de estos agujeros se puede explotar para lograr la ejecución de código remoto en la impresora, estas vulnerabilidades se pueden utilizar para construir una red de bots de estilo Mirai y causar estragos en línea. Aunque el spam impresora de Stack menciona dispositivos de unión de una "botnet en llamas", se nos dice que no se formó ninguna red de este tipo - que era una amenaza hipotética, al parecer.
En general, es un truco bastante impresionante, con este chico conseguir 160.000 impresoras de trabajar, mi madre no puede incluso conseguir 1 a trabajar la mayor parte del tiempo.
Y estoy absolutamente seguro de que vamos a ver muchos más de estos dispositivos de las materias primas al azar con interfaces de red, conectados a Internet ser hackeado en el próximo año.
Fuente: El Registro
No hay comentarios:
Publicar un comentario