Когда люди слышат слово «взлом», большинство представляет что-то сложное.
Неизвестные уязвимости.
Хитрые скрипты.
Специальное программное обеспечение.
Профессиональных хакеров в тёмных комнатах перед несколькими мониторами.
На практике всё часто выглядит намного проще.
Иногда злоумышленнику даже не нужно искать уязвимости.
Достаточно открыть настройки обычного МФУ.
Одна из самых удивительных вещей, которые регулярно встречаются в инфраструктурах организаций, — использование привилегированных учётных записей для настройки функций сканирования.
Логика обычно выглядит так:
Нужно настроить сканирование документов в сетевую папку.
Администратор создаёт подключение.
Проверяет.
Работает.
На этом задача считается выполненной.
А какая именно учётная запись используется для доступа к папке — вопрос второстепенный.
В результате на МФУ оказывается сохранён пароль от доменной учётной записи.
Иногда сервисной.
Иногда пользовательской.
А иногда и административной.
Причём в некоторых случаях этот пароль хранится годами.
Самое интересное начинается дальше.
Многие воспринимают МФУ как бытовое устройство.
Принтер.
Сканер.
Что-то, что просто стоит в углу и печатает бумагу.
Но современное МФУ — это полноценный компьютер со своей операционной системой, веб-интерфейсом управления, сетевыми сервисами и собственными учётными записями.
И вот тут появляется проблема.
Веб-интерфейс МФУ зачастую доступен из внутренней сети.
А пароль администратора после установки никто не менял.
Логин admin.
Пароль admin.
Логин admin.
Пароль 123456.
Либо пароль давно известен половине ИТ-отдела.
Получив доступ к панели управления такого устройства, злоумышленник может не только изменить настройки печати или сканирования.
Он может получить сохранённые учётные данные.
Те самые, которые используются для доступа к файловым ресурсам.
И если среди них внезапно оказывается доменный администратор, никакие сложные атаки больше не нужны.
В этот момент безопасность организации перестаёт зависеть от межсетевых экранов, антивирусов и систем обнаружения вторжений.
Она начинает зависеть от настроек принтера.
Самое неприятное заключается в том, что это не ошибка оборудования.
Это не уязвимость производителя.
Это обычная человеческая привычка решать задачу максимально быстро.
Нужно настроить сканирование.
Берётся первая учётная запись, которая точно имеет доступ.
Часто это администратор.
Потому что так проще.
А потом эта временная настройка остаётся на годы.
Именно поэтому безопасность редко ломается из-за сложных атак.
Гораздо чаще её ломают удобство, спешка и уверенность в том, что «ничего страшного не случится».
Если для работы МФУ нужна учётная запись, она должна быть отдельной.
С минимально необходимыми правами.
Без административных привилегий.
Без доступа к критичным ресурсам.
И конечно, с отключёнными учётными записями по умолчанию и изменёнными паролями администратора устройства.
Добавить комментарий