Impressoras Brother susceptíveis a ataques de negação de serviço remoto

As impressoras empresariais e empresariais em rede fabricadas e vendidas pela Brother contêm uma vulnerabilidade não reproduzida que pode ser usada por um invasor remoto para causar uma condição de negação de serviço no dispositivo.

Pesquisadores da SpiderLabs da Trustwave divulgaram na segunda-feira a questão após inúmeras tentativas infrutíferas de entrar em contato com o Irã, incluindo um bate-papo ao vivo com uma pessoa de apoio em 3 de outubro, próximo de um mês após a divulgação inicial. Um pedido de comentário da Threatpost não foi respondido antes da publicação.
A vulnerabilidade afeta todas as impressoras Brother com o servidor web embutido Debut, disse a Trustwave, e pode ser explorada com uma única solicitação mal formada para a impressora. Karl Sigler, gerente de inteligência de ameaças da Trustwave, disse que o front-end da Debut pode ter 15 anos e as versões 1.20 e anteriores são afetadas.

Do ponto de vista de uma rede, [um ataque pode ser semelhante ao tráfego HTTP comum atingindo a impressora]. O ataque está apenas enviando um único pedido a cada poucos minutos para realizar o DoS, disse Sigler ao Threatpost. Se a impressora estiver acessível à Internet, isso é tudo o que um atacante precisaria. Caso contrário, um invasor precisaria acessar a rede do alvo (a engenharia social vem à mente).

Sigler disse que existem 14.989 dispositivos afetados disponíveis on-line, de acordo com uma pesquisa Shodan conduzida pela Trustwave, uma pequena porcentagem de impressoras Brother.

Um atacante precisaria estar na mesma rede na maioria dos casos, admitiu Sigler.

Um ataque seria executado enviando uma solicitação HTTP POST mal formada para a impressora; um invasor receberia um código genérico de erro do servidor 500 em resposta, indicando que o servidor estava inacessível e incapaz de imprimir.

“Infelizmente, apesar das múltiplas tentativas de entrar em contato com a Brother sobre esse problema, nenhum patch parece estar pendente. Para mitigar esse problema, os administradores são deixados em seus próprios dispositivos “, disse Trustwave em um comunicado. “O controle de acesso estrito está aqui, e usar um firewall ou dispositivo similar para restringir o acesso à Internet apenas para os administradores que o precisam ajudará a mitigar a ameaça aqui. Infelizmente, o controle de acesso é muito comum “.

Enquanto isso, parece que o problema não será apresentado. Sigler disse que é provável que, mesmo que uma atualização fosse produzida pelo Brother, teria que ser implantada manualmente. Este é um cenário muito comum com outros dispositivos conectados que não possuem um mecanismo automatizado de segurança e atualizações de recursos. Os atacantes ficaram muito felizes em explorar essa questão, em outros casos, como Mirai, para realizar ataques de negação de serviços distribuídos aleijados.

Algumas pessoas descartam os ataques de negação de serviço como um mero incômodo, mas podem amarrar recursos e reduzir a produtividade em qualquer organização. Eles também podem ser usados ​​como parte de um ataque na pessoa em uma organização “, disse Trustwave. “Por exemplo, um invasor pode iniciar uma negação de serviço como esta e depois aparecer na organização como o “técnico” chamado para corrigir o problema. A representação de um técnico permitiria ao acesso físico direto dos invasores aos recursos de TI que eles nunca poderiam ter acessado remotamente .

 

FONTE: THREATPOST

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *