«Безопасность корпоративной сети, это не только про серверы и файрволы. Это про каждое устройство, которое подключено к розетке и имеет IP-адрес. Игнорировать старый принтер в коридоре — всё равно что оставить запасной ключ от сейфа под ковриком, потому что им никто не пользуется. Он становится идеальной точкой входа для того, кто ищет не самый защищённый, а самый забытый путь.»
Почему забытый принтер — лучший друг нарушителя
Современный сетевой принтер или МФУ, это не просто периферия. Это полноценный компьютер со своим процессором, операционной системой (часто на урезанном Linux), постоянной памятью и набором сетевых служб. При установке его прошивка может быть актуальной, но затем устройство попадает в «серую зону» ИБ: его не включают в циклы обновлений, не сканируют на уязвимости, не учитывают в политиках сегментации. Он просто печатает, пока не сломается. Для злоумышленника же это стабильно работающий хост со старым, хорошо изученным ПО, имеющий легальное подключение к корпоративной сети. Зачастую — к тому самому сегменту, где находятся файловые серверы или базы данных.
С чего всё начинается: обычная разведка
Рассмотрим типичную корпоративную инфраструктуру. Критичные серверы в сегменте А защищены межсетевыми экранами, системами обнаружения вторжений и антивирусами. Сегмент Б — условно доверенная зона для офисных работников. Сегмент В — изолированная сеть для систем, попадающих под требования 152-ФЗ или отраслевых стандартов. Физически в коридоре, на стыке сегментов, стоит старый сетевой принтер. Он подключен к сети А для печати общих документов, но в нём по умолчанию активирован протокол печати по IPP, а порт 9100 для RAW-печати когда-то пробросили в сеть Б «для удобства». Это и есть та самая брешь.
Первая ступень: обнаружение забытых узлов
Атака редко начинается с целенаправленного взлома принтера. Всё происходит в рамках обычного сканирования сети. Находясь в сегменте Б, нарушитель запускает сканер. Среди стандартных ответов на порты 80 или 443 он обнаруживает хост, отвечающий на порт 9100. Простая проверка утилитой nc подтверждает доступность. Это уже аномалия для офисного сегмента. Следующий шаг — поиск веб-интерфейса управления. Он часто доступен по стандартным путям вроде / или /hp/device/. Перебор стандартных учётных данных (admin/admin, admin/пароль от серийного номера) в большинстве случаев срабатывает, потому что эти настройки никогда не менялись.
Код, которого нет в политиках
На встроенных системах принтеров редко стоят средства защиты конечных точек. Их файловые системы часто доступны на запись, а в прошивках встречаются служебные утилиты для выполнения команд. Например, у многих моделей в веб-интерфейсе есть страница диагностики с полем для ввода ping или tracert. При наличии уязвимостей в обработке ввода (например, инъекция команд через аргументы) через эту форму можно добиться выполнения произвольного кода. Прошивки, которые не обновлялись несколько лет, гарантированно содержат такие известные уязвимости.
Но даже без сложных эксплойтов часто хватает штатного функционала. Многие устройства поддерживают загрузку конфигурационных файлов или прошивок через веб-интерфейс или FTP. Получив права администратора, можно загрузить модифицированную прошивку, превращающую принтер в сетевой сканер, сниффер или прокси-сервер.
Трамплин: от принтера к ядру сети
Контроль над устройством в пограничной зоне решает для нарушителя ключевые задачи. Во-первых, маскировка — трафик с принтера редко подвергается глубокому анализу в SIEM. Во-вторых, расширение доступа. С принтера можно начать сканирование сети сегмента А, который изначально был недоступен из сегмента Б. Обнаруживаются другие незащищённые устройства — IP-камеры, контроллеры систем автоматизации. Формируется карта «теневой» инфраструктуры.
Критично именно сетевое положение. Принтер, имеющий доступ к нескольким VLAN или к критичным серверам (например, к серверу печати), становится точкой для атак на них. Через него можно проводить атаки типа ARP-spoofing в локальном сегменте, перенаправляя и анализируя трафик.
Сценарий, который не рассматривают при аудите
Предположим, конечная цель — данные в изолированном сегменте В, откуда исходящий трафик заблокирован. Прямой доступ извне невозможен. Но если из сегмента В что-то печатается на этот принтер (например, конфиденциальные отчёты), то между сегментами А и В существует сетевое соединение. Скомпрометировав принтер в сегменте А, можно попытаться использовать этот канал для обратного доступа — не для передачи больших файлов, а для отправки управляющих команд или извлечения данных, замаскированных под служебный трафик печати (например, в DNS-запросах).
Что делать, чтобы это был не ваш принтер
Защита требует системного подхода, а не разовых действий. Вот ключевые меры:
- Полная инвентаризация. Любой сетевой принтер, МФУ или факс должен быть учтён как информационный актив. За ним закрепляется ответственный, в CMDB фиксируются модель, серийный номер и актуальная версия прошивки.
- Жёсткая сегментация. Доступ к интерфейсам управления принтером (веб, Telnet, SNMP) должен быть разрешён только из выделенного административного сегмента. Доступ к портам печати (9100, 515, 631) из других сегментов должен регулироваться строгими правилами МСЭ, а не быть разрешённым по умолчанию.
- Включение в процессы ИБ. Принтеры должны быть частью цикла управления уязвимостями. Если производитель прекратил поддержку модели — устройство либо выводится из эксплуатации, либо помещается в максимально изолированный сегмент сети.
- Базовая гигиена конфигурации. Обязательная смена паролей по умолчанию. Отключение неиспользуемых сетевых служб (FTP, Telnet). Принудительное использование HTTPS для веб-интерфейса, если это поддерживается.
- Активный мониторинг. Нестандартная сетевая активность с IP-адреса принтера (исходящие соединения на нестандартные порты, сканирование, DNS-запросы к неизвестным доменам) должна отслеживаться SIEM и генерировать инциденты.
Итог прост: современная безопасность перестала быть только про периметр. Она про каждую внутреннюю границу и про каждый «доверенный» актив. Устройство, которое кажется безобидным и необновляемым, часто становится самым слабым и самым долгим звеном в цепи защиты. Его не атакуют первым, но именно через него проходят в последнюю очередь, когда все очевидные пути уже перекрыты.