Impressoras Samsung têm risco de segurança escondido
Algumas impressoras da marca e, também, outras da Dell que foram fabricadas pela empresa coreana, podem possibilitar o acesso remoto de invasores.
O alerta foi feito na segunda-feira (26/11) pelo U.S. Computer Emergency Readiness Team (Cert), que afirmou que as impressoras afetadas “contêm um SNMP community strings (é como uma identidade de usuário ou senha que permite acesso à raiz ou outras estatísticas do dispositivo; N. da T.) codificado de leitura e escrita que continua ativo mesmo quando o SNMP está desabilitado na utilidade de gerenciamento da impressora”, em outras palavras, as impressoras têm uma conta codificada em seu firmware que não pode ser desabilitada pelos usuários. O SNMP, ou simple network management protocol, é um protocolo de rede com base em TCP/IP usada para gerenciar e monitorar a configuração de rede do dispositivo.
Como resultado da vulnerabilidade: “um invasor remoto, sem autenticação, pode acessar um dispositivo afetado tendo privilégios administrativos”, segundo informação do conselho de segurança do Cert. “Os impactos secundários incluem: a habilidade de fazer mudanças na configuração do dispositivo, acesso a informações sensíveis – por exemplo, informações de rede e de dispositivo, credenciais e arquivos passados para a impressora – e a capacidade de habilitar novos ataques por meio de execução de código arbitrário”. Isso significa que após acessar a conta de administrador, os invasores poderiam teoricamente transformar a impressora em uma plataforma de proliferação de malware, que conseguiria acessar qualquer outro dispositivo conectado à rede localizado no mesmo segmento de rede ou firewall.
A Samsung tem conhecimento da vulnerabilidade e prometeu lançar uma correção dentro de dias: “o problema só afeta os dispositivos quando o SNMP está habilitado e pode ser resolvido desabilitando o recurso. Levamos todos os problemas de segurança à sério e não temos ciência de nenhum cliente que tenha sido afetado por essa vulnerabilidade. A Samsung se compromete a lançar a atualização de firmware para todos os atuais modelos até 30 de novembro, com todos os outros modelos recebendo essa atualização até o final do ano. Entretanto, para clientes que estão preocupados, indicamos que desabilitem o Snmpv1.2 ou usem o modo seguro Snmpv3, até que a atualização seja realizada”, explicou o porta voz da empresa, Reuben Staines, por meio de e-mail.
A empresa ainda não lançou os detalhes técnicos completos sobre quais modelos de impressoras e versões de firmware são afetados. Mas explicou que nenhuma impressora Dell e Samsung lançada a partir do dia 1 de novembro de 2012 tem a vulnerabilidade.
Aviso
Tanto a Samsung quanto a Dell foram informadas sobre a vulnerabilidade do firmware em 23 de agosto de 2012, pelo pesquisador Neil Smith, que na terça-feira (27/11), publicou mais detalhes da vulnerabilidade. Segundo ele, a Samsung removeu todas as versões baixáveis de seus firmwares das impressoras de suas páginas de suporte, mas observou que ainda estão disponíveis por meio do site =da Dell amostras do firmware afetado. Esse instalador de firmware de impressora é chamado de “Dell2335dn_A11_v2.70.06.21.exe”. Em uma postagem por meio do Twitter, Smith sugeriu que a Samsung, com base na Coreia, retirou rapidamente a falha do ar.
O alerta de vulnerabilidade da Samsung é um lembrete de que impressoras – entre outros dispositivos conectados à rede, como webcam de segurança de casa – contém servidores de rede incorporados que talvez possam ser permanentemente habilitados. A melhor prática de segurança, segundo conselho da Cert, é permitir conexões somente de hosts e redes confiáveis para qualquer periférico conectado, e essa é uma solução temporária para qualquer organização que usa atualmente as impressas afetadas conectadas à rede. “Restringir o acesso previne que o invasor acesse a interface SNMP usando as credenciais afetadas de uma localização de rede bloqueada”.
Outro risco dessa situação é a espionagem corporativa. Segundo pesquisa lançada no ano passado por Michael Sutton, vice-presidente de pesquisa de segurança para segurança de rede da empresa Zscaler Labs, foi possível identificar um milhão de dispositivos conectados à internet. Muitos desses sistemas eram incorporados com servidores de rede dentro de copiadoras, escâneres e sistemas VoIP que não estavam seguros de forma alguma, não exigindo nome de usuário nem senha. Como resultado, o pesquisador conseguiu baixar livremente inúmeros tipos de documentos armazenados dos dispositivos conectados à rede.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
