Pericolo backdoor nelle stampanti Samsung

Alcuni modelli di stampanti Samsung e Dell (prodotte dall’azienda coreana) hanno una backdoor integrata nel firmware che potrebbe essere utilizzata da un malintenzionato per rubare informazioni sensibili ed eseguire attacchi mediante l’esecuzione di codice arbitrario. La vulnerabilità, scoperta dall’US-CERT, è legata alla presenza di un account SNMP che non richiede nessuna autenticazione, lasciando quindi aperta la porta ad un eventuale tentativi di intrusione. Il bug di sicurezza è stato rilevato in tutte le stampanti prodotte prima del 31 ottobre 2012.

SNMP (Simple Network Management Protocol) è un protocollo comunemente usato per il monitoraggio e la lettura delle statistiche dai dispositivi collegati alla rete. L’account codificato in modo permanente nel firmware possiede permessi di lettura e scrittura, e rimane attivo anche se SNMP viene disattivato nell’utility di gestione della stampante. Ciò consente ad un attaccante remoto di accedere facilmente al dispositivo con privilegi di amministrazione, modificare le impostazioni, leggere informazioni riservate (documenti privati inviati in stampa, password e parametri della rete) ed eseguire codice arbitrario.

Un hacker potrebbe sfruttare la vulnerabilità anche per prendere il controllo del computer al quale la stampante è collegata e quindi attaccare altri PC, server e router, oltre che catturare tutto il traffico di rete. US-CERT non ha fornito l’elenco dei modelli affetti dal problema, ma Samsung ha confermato che il bug è presente in tutte le stampanti prodotte prima del 31 ottobre 2012.

In attesa di nuovi firmware, previsti per la fine dell’anno, la soluzione temporanea è bloccare il traffico di rete sulla porta SNMP 1118/UDP e consentire l’accesso all’interfaccia SNMP solo da host e segmenti di rete fidati. Ciò dovrebbe ridurre le probabilità di successo in caso di attacco da parte dei malintenzionati.