Home Sociedad Revelan que 80.000 impresoras están exponiendo su puerto IPP en línea

Revelan que 80.000 impresoras están exponiendo su puerto IPP en línea

En un informe publicado a principios de este mes, los investigadores de seguridad de la Fundación Shadowserver, una organización sin ánimo de lucro centrada en la mejora de las prácticas de ciberseguridad en todo el mundo, han publicado una advertencia sobre las empresas que están dejando expuestas las impresoras en línea.

Más específicamente, escanearon los cuatro mil millones de direcciones IPv4 enrutables para las impresoras que están exponiendo su puerto IPP.

IPP son las siglas de “Internet Printing Protocol” y, como su nombre lo indica, es un protocolo que permite a los usuarios administrar las impresoras conectadas a Internet y enviar trabajos de impresión a las impresoras alojadas en línea.

La diferencia entre IPP y los otros múltiples protocolos de gestión de impresoras es que IPP es un protocolo seguro que admite características avanzadas como listas de control de acceso, autenticación y comunicaciones cifradas.

Sin embargo, esto no significa que los propietarios de los dispositivos hagan uso de ninguna de estas características.

La compañía escudriñó específicamente la Internet en busca de impresoras aptas para IPP que se dejaron expuestas sin estar protegidas por un cortafuegos y permitieron que los atacantes consultaran los detalles locales mediante la función “Get-Printer-Attributes”.

En total, los expertos dijeron que por lo general encontraban un promedio de alrededor de 80.000 impresoras expuestas en línea a través del puerto de IPP diariamente.

El número es aproximadamente una octava parte de todas las impresoras con capacidad de IPP actualmente conectadas en línea. Un escaneo normal con el motor de búsqueda BinaryEdge revela un recuento diario de entre 650.000 y 700.000 dispositivos con su puerto IPP (TCP/631) accesible a través de Internet.

Existen varios problemas importantes para dejar el puerto IPP totalmente expuesto en línea sin protección adicional, como un cortafuegos o un mecanismo de autenticación.

Para empezar, los expertos del Shadowserver aseguran que este puerto puede ser usado para la recolección de inteligencia. Esto fue posible porque un gran porcentaje de las impresoras con capacidad para IPP, devolvieron información adicional sobre ellas mismas, como nombres de impresoras, ubicaciones, modelos, versiones de firmware, nombres de organizaciones e incluso nombres de redes WiFi.

Los atacantes pueden recopilar esta información y luego buscar a través de ella las redes empresariales en las que querrían centrar futuros ataques.

Además, alrededor de una cuarta parte del número total de impresoras con capacidad de IPP (unas 21.000) también expuso los detalles de su marca y modelo. Los investigadores dicen que exponer esta información “obviamente facilita mucho a los atacantes la localización y el objetivo de las poblaciones de dispositivos vulnerables a vulnerabilidades específicas”.

Para empeorar las cosas, las herramientas para el pirateo de IPP también están disponibles en línea. Herramientas como PRET (Printer Exploitation Toolkit) apoyan el hacking de IPP, y han sido utilizadas en el pasado para secuestrar impresoras y obligarlas a imprimir varios mensajes de propaganda. Sin embargo, el mismo kit de herramientas también podría ser usado para algo mucho peor, como apoderarse de dispositivos vulnerables, por completo.

Con información de: Europa Press.