Printers zijn een makkelijk doelwit die nogal eens over het hoofd worden gezien door bedrijven, ondanks uitgebreide ingebouwde beveiligingsfeatures. Deze worden namelijk zelden ingeschakeld, zo blijkt uit recent onderzoek van beveiligingsteams van Symphion en NCC Group onafhankelijk van elkaar. De meeste bedrijven outsourcen hun printers naar leveranciers van Managed Print Services (MPS) en de concurrentie op prijs van deze partijen heeft ertoe geleid dat de meeste optimaliseren voor kostenefficiëntie, maar niet voor beveiliging. Dat maakt organisaties kwetsbaar.

"Printers staan geconfigureerd op gevoelige delen van zakelijke netwerken" zeiden NCC Group-onderzoekers Daniel Romero en Mario Rivas afgelopen september op 44CON. "Printers zijn geweldig voor het starten of verder uitvoeren van netwerkaanvallen. Ze verwerken allerlei informatie en worden vaak gezien als doelen met laag risico, terwijl ze weinig functionaliteit bieden. Printers zijn veelvoorkomende kantoorapparaten in alle organisaties met onvolwassen beveiliging die grotendeels genegeerd."

Beveiligers staan vaak tussen Shadow IT en de vraag "wie is er eigenlijk verantwoordelijk voor die apparaten?" en hebben meestal weinig zicht op de printeruitrol. Dat komt doordat de aanbesteding daarvan vaak buiten de aankoopcyclus van IT om gaat en het beveiligingsteam daar niet in wordt meegenomen.

Een printer is een apparaat met veel mogelijkheden

De ironie is dat de meeste zakelijke printers vandaag de dag robuuste beveiligingsmiddelen aan boord hebben die kunnen worden geconfigureerd naar de behoefte van de meeste bedrijven, maar ze zijn vaak standaard uitgeschakeld om beheer op afstand van duizenden apparaten door de MPS-provider te vergemakkelijken. Het is lastig om deze dreiging voor beveiliging en compliance te overschatten. Zoals zo vaak in de beveiligingswereld zijn oplossingen organisatorisch en niet technisch van aard. Blokkeren en monitoren, de drempel verhogen, de basale dingen doen - klinkt het je bekend? Het probleem is dus echt niet technisch, maar eentje van de organisatie: iemand moet het doen.

Zoals het woord 'telefoon' vandaag de dag betekent 'zaksupercomputer en spionageapparatuur waar je ook mee kunt bellen', betekent het woord 'printer' inmiddels 'fax, kopieerapparaat, webserver, e-mailserver, ftp-server met Ethernet-verbinding naar gevoelige domeinen op het bedrijfsnetwerk, en apparaat dat eerder afgedrukte gevoelige documenten op een harde schijf heeft staan totdat je MPS de printer weggooit, iemand gevoelige patiëntgegevens vindt op onversleutelde harde schijven en een schandaal veroorzaakt - o, en hij print ook dingen'.

Hadden we het al over het gebrek aan patches gehad? Ja, printers worden vaak niet gepatcht. En hadden we al aangegeven dat veel beveiligingscentra (SOC's) de monitoring grotendeels uitschakelen? Een SOC-analist zit niet te wachten op een waarschuwing dat de toner vervangen dient te worden, dus deze apparaten worden gewhitelist. Ondertussen valt een Russische hackgroep (en als Rusland het doet, doen andere landen het ook) printers aan om een bruggenhoofd te veroveren bij doelwitten.

Wie is er verantwoordelijk?

"Printers, in tegenstelling tot standalone servers, worden buiten het datacenter onderhouden zonder de fysieke en technische beveiligingsmiddelen die gebruikelijk zijn in het datacenter, worden onderhouden door niet-informatiebeveiligers, niet-IT'ers (niet de admins met hoge toegangsrechten) en worden niet meegenomen in IT-beleid en -procedures", staat te lezen in een whitepaper van Symphion. "Daarnaast zijn printers, net als laptops, vaak nog mobiel inzetbaar in het bedrijf (ze hebben vaak zelfs wieltjes)."

Informatiebeveiligingsteams moeten betrokken zijn bij het aanbestedingsproces van printers om beveiliging een requirement te maken binnen een RFP. Nog belangrijker is dat het zwartepieten wordt beëindigd: wie is er verantwoordelijk voor de printerbeveiliging? Als er een vijftal rollen de baas is over het apparaat is dat vragen om een beveiligingsramp.

"We denken dat het de CSO moet zijn", zegt Symphion-CEO Jim LaRoe. Omdat beveiliging geen product is, maar een proces, is het van levensbelang om continu inzicht te hebben in de beveiligingsstatus van printers. Beveiligingsfeatures moeten worden ingeschakeld en ingeschakeld blijven, zelfs na onderhoud (wanneer een reparateur bijvoorbeeld fabrieksinstellingen terugzet).

Onnodige poorten moeten gesloten blijven en services die niet noodzakelijk zijn moeten zijn uitgeschakeld. Monitor netwerkverkeer op verdachte activiteiten. Voer oude printers op een beveiligde manier af en vernietig de harde schijven voor ze het gebouw verlaten, omdat deze schijven een heleboel gevoelige documenten bevatten die blijven staan nadat ze zijn afgedrukt.

Printers zijn kwetsbaar voor alle gangbare aanvallen

Wat zijn de gevolgen van het nalaten van het invoeren van goede printerbeveiliging? Als je een hoop onbeveiligde webapplicaties op een printer hebt draaien, moet het geen verrassing zien dat veel van deze webapps gevoelig zijn voor kritieke webkwetbaarheden die zijn gedefinieerd in de OWASP Top 10 (PDF). Het onderzoek van NCC Group onthulde kritieke risico's voor webapplicaties van printers, printer-services en zelfs in de hardware.

"Een heleboel services staan standaard open met zwakke configuraties", schreven ze. Webapplicaties van printers zijn kwetsbaar voor - je raad het al - Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS) en path traversal-aanvallen. Hebben we het al over bufferoverloop-kwetsbaarheden gehad? Alle klassiekers komen langs.

Propriëtaire protocollen

Een groot struikelblok in het beveiligen van printers is dat fabrikanten vaak propriëtaire software gebruiken om een vendor lock-in te bereiken en verschillende types printers kunnen niet met elkaar communiceren - of met de informatiebeveiliger die standaardprotocollen gebruikt.

"De rijke beveiligingsinstellingen die printers zelf bieden zijn niet bereikbaar via SNMP-scans (de standaardautomatisering die de printsector gebruikt) en de beheersoftware van printers is meestal beperkt tot het merk van de fabrikant en is dus niet geschikt voor de hele uitrol aan printers of zelfs de eigen legacy-apparaten van de fabrikant.

Zoals zo vaak het geval lijkt te zijn, zorgt marktwerking ervoor dat organisaties aan alle kanten worden gemotiveerd om niet te kiezen voor sterke beveiliging. Bedrijven moeten dit onderkennen en hun leveranciers onder druk zetten om meer interoperabiliteit te leveren. Als dat niet mogelijk is, moet je ofwel kiezen voor een enkele leverancier of een platformneutrale oplossing zoeken (of zelf ontwikkelen).