lunes, 10 de diciembre de 2012

Buscando puertas traseras en impresoras Samsung y DELL

Hace unos días saltó la noticia de una puerta trasera en el firmware usado por ciertas impresoras. Debido al secretismo por parte de Samsung y Dell, que ha llevado incluso a desactivar en el site oficial de Samsung las descargas de los firmwares de las impresoras afectadas, hemos intentado averiguar cuáles son los modelos que poseen esta cuenta de administración, así como comprobar el nivel de acceso al dispositivo.

Como comentamos en nuestra UAD, el boletín del US-CERT era muy parco y sólo podíamos esperar mayor información por parte del investigador. Una vez se publicó la 'community string' sólo debíamos
centrarnos en la tarea de identificar modelos de impresoras Samsung o DELL y comprobar si se veían afectadas.

Para ello Shodan sigue siendo la herramienta perfecta en este tipo de casos arrojando mas de 1300 resultados para impresoras DELL y más de 7000 para impresoras Samsung con el puerto SNMP activo.
Ya sólo quedaba exportar y adaptar un listado para importarlo en SNScan, una pequeña y rápida utilidad en Windows para escanear dispositivos SNMP. En Linux podemos utilizar snmpwalk y SnmpEnum con los mismos resultados.

Centrándonos en DELL, en una primera tanda pude comprobar si había comunicación SNMP gracias a la community string por defecto ‘public’:

Listado de impresoras DELL importado de Shodan. 

Aparentemente sí la había, pero utilizando la community de nivel administrativo 's!a@m#n$p%c': 

Modelo DELL 2335dn afectado. 

podemos ver que del anterior listado sólo una de ellas se veía afectada. En realidad no todas las impresoras Samsung son fabricadas por DELL (Lexmark también fabrica para ella), pero esto confirma el modelo afectado con los reportes de algunos usuarios en Twitter, DELL 2335DN.

Ya en una segunda tanda con Samsung, pude comprobar la cantidad de impresoras afectadas y la importancia de esta vulnerabilidad:
Numerosos modelos de Samsung afectados.
De ahí que se pudieran ofrecer datos mas o menos aproximados de las posibles series afectadas:
  • Series Samsung SCX-4xxx, 5xxx, 8xxx 
  • Series Samsung ML-2xxx y ML-3xxx
  • Series Samsung CLX-3xxx
Utilizando por ejemplo MIB Browser se puede conectar a la impresora para indagar en sus funciones y (como tenemos la cuenta de administración), podemos llegar a alterarlas con los MIB adecuados.

En la captura podemos ver las características completas del modelo ML-3050: