12 KiB
AWSハッキングをゼロからヒーローまで学ぶには htARTE (HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- あなたの会社をHackTricksで宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください。
- 公式PEASS & HackTricksグッズを入手する
- The PEASS Familyを発見する、私たちの独占的なNFTsのコレクション
- 💬 Discordグループまたはtelegramグループに参加する、またはTwitter 🐦 @carlospolopmをフォローする。
- HackTricksのPRをHackTricksおよびHackTricks Cloudのgithubリポジトリに提出して、あなたのハッキングのコツを共有してください。
悪意のあるファームウェアアップデートの危険性はよく知られており、早期に[1]と[2]によって議論されています。しかし、他のネットワークデバイスとは対照的に、プリンターは通常の印刷ジョブとしてファームウェアアップデートを展開することが一般的です。これにより、印刷機能へのアクセスは通常低いハードルであるため、攻撃者に広いゲートウェイが開かれます。このような不安全な設計決定の動機については推測するしかありませんが、歴史的な理由が関係していると考えるのは論理的です:プリンターはかつて並列またはUSBケーブルで接続されていました。ネットワーク接続がなければ、セキュリティはそれほど重要ではなく、パスワードで保護されたWebサーバーや類似の機能がなければ、印刷チャネルがデバイスにデータを送信する唯一の方法でした。
ネットワークプリンターに対するファームウェア改変攻撃は、HPデバイスに対して[3]、Canon PIXMAシリーズに対して[4]、さまざまなXeroxモデルに対して[5]および[6]によって実証されています。対策として、プリンターメーカーはファームウェアにデジタル署名を開始しました[7]。
ベンダー
ファームウェア展開手順の概要を提供するために、トップ10のプリンターメーカーの1,400のファームウェアファイルがダウンロードされ、[8]によって体系的に分類されました。結果は以下の通りです。
HP
ファームウェアはsupport.hp.comからダウンロードすることができます。またはFTPを介してftp.hp.comから直接取得できます。HPの従来のリモートファームウェアアップデート(.rfu)形式の419ファイルと、新しい「HP FutureSmart」バイナリ(.bdl)の206ファイルを取得できます。.rfuファイルには、ファームウェアアップデートが通常の印刷ジョブとして展開されることを示す独自のPJLコマンド@PJL UPGRADE SIZE=…が含まれています。これは[3]によって実証され、HPは2012年3月以降、すべてのプリンターファームウェアにデジタル署名を行っています[7]。
Canon
ファームウェアはwww.canon.com/supportで入手できます。しかし、Canonは有効なデバイスシリアル番号がないとファームウェアをダウンロードできません。[4]によると、Canon PIXMAシリーズのファームウェアを改変することができましたが、「署名はありません(正しい方法です)が、非常に弱い暗号化があります」。Canonの技術サポート担当者との電子メールでのやり取りによると、「ファームウェアはCanonによってデジタル署名されていなければならず、プリンターに受け入れられるためには」。
Epson
ファームウェアはepson.comからダウンロードでき、FTPを介してdownload.epson-europe.comからも入手できます。ファイルはWinZip自己解凍.exeファイルとして提供され、unp[9]を使用して解凍できます。含まれている.efuファイルはBinwalk[10]を使用して分析でき、実際のファームウェアを抽出します。49個の未知の形式の.rcxファイル(「SEIKO EPSON EpsonNet Form」)と、PJLコマンド@PJL ENTER LANGUAGE=DOWNLOADを含む9個の.prnファイルを入手できます。Epsonは保護メカニズムに関する情報を公開していません。2016年以前にリリースされたファームウェアはコード署名を適用しておらず、[11]によって示されたように操作可能でした。彼らは「1999年以降に製造された大量のデバイスが脆弱である可能性があると信じています」。
Dell
ファームウェアはdownloads.dell.comおよびftp.us.dell.com/printerから入手できます。ファイルはunpを使用して解凍でき、含まれている.zipファイルはunzipのバリアントを使用して抽出できます。Dellは印刷デバイスを製造していませんが、他のベンダーの製品を再ブランドしています。したがって、@PJL FIRMWARE=…を含む18個の.hdファイル、@PJL ENTER LANGUAGE=DOWNLOADを含む25個の.prnファイル、@PJL LPROGRAMRIPを含む30個の.fls/.flyファイルなど、さまざまなファームウェアファイルが見つかりました。保護メカニズムに関して、Dellは公に利用可能な情報をリリースしていません。
Brother
ファームウェアは簡単にダウンロードできません。代わりに、利用可能なプリンターをチェックし、最新のファームウェアのダウンロードリンクをWebサービスから要求するWindowsバイナリを実行する必要があります。正しいパラメーターを推測することで、98個のファイルのリンクを取得することができます。ファームウェアファイルは解凍する必要はなく、すでに生の形式で提供されています。79個の.djfファイルには@PJL EXECUTE BRDOWNLOADが含まれており、9個の.blfファイルには@PJL ENTER LANGUAGE=PCLが含まれています。Brotherは保護メカニズムに関する公に利用可能な情報をリリースしていません。
Lexmark
ファームウェアはsupport.lexmark.comから入手でき、unpを使用して解凍できます。63個のflsファイルを入手でき、ファームウェアをインストールするためのPJLヘッダー@PJL LPROGRAMRIPが含まれています。Lexmarkのセキュリティホワイトペーパーは、「パッケージは、Lexmarkのみが知っているキーを介して対称暗号化アルゴリズムで暗号化する必要があり、すべてのデバイスに安全に組み込まれています。ただし、最も強力なセキュリティ対策は、すべてのファームウェアパッケージにLexmarkからの複数のデジタル2048ビットRSA署名が含まれていることを要求することから来ます。これらの署名が有効でない場合[...]ファームウェアは破棄されます」[12]と主張しています。
Samsung
ファームウェアはwww.samsung.com/us/support/downloadからダウンロードできます。取得したファイルはzipアーカイブまたはWindows実行可能ファイルとして提供され、wineで実行してさらにunpを使用して解凍できます。この方法で、@PJL FIRMWAREで始まる33個の.hdファイルと、@PJL DEFAULT SWUPGRADE=ONを含む関連する.prnファイルを入手できます。Samsungは保護メカニズムに関する公に利用可能な情報をリリースしていません。
Xerox
ファームウェアはwww.support.xerox.comで公開されています。ダウンロードしたファイルはzip形式で提供され、unzipを使用して解凍できます。ファームウェアファイルは異なる形式であり、@PJL FIRMWARE=…を含む16個の.hdファイル、古いデバイス用の36個のPostScriptファイル、現在Xeroxが使用している形式でありデジタル署名が含まれている35個の.dlmファイルがあります。しかし、[5]と[6]によって見つかった展開プロセスの欠陥により、リモートコード実行が可能になりました – プライベートキーとコード署名に使用されるツールがファームウェア自体に含まれていました。
Ricoh
support.ricoh.comの「ファームウェアダウンロードセンター」は一般公開されていません。幸いなことに、インターネットにはドライバー/ファームウェアのダウンロードページへの直接リンクがいくつか含まれているため、単純なGoogle検索(site:support.ricoh.com firmware)を使用して31個のファームウェアファイルを入手できます。ファイルはunpを使用して解凍できます。14個の.binファイルには@PJL RSYSTEMUPDATE SIZE=…が含まれており、15個の.brnファイルはsettings.iniを含み、@PJL FWDOWNLOADとUSERID=sysadm, PASSWORD=sysadmが含まれています。Ricohは保護メカニズムに関する最新の情報を提供していません。2007年に遡るホワイトペーパーで、Ricohは「サービス技術者のみがファームウェアアップデートを行うためのパスワードと専用アカウントを持っています」と主張しています[13]。
Kyocera
Kyoceraはエンドユーザーにファームウェアをリリースしていません。しかし、公に利用可能なKyoceraディーラーフォーラムでは、さまざまなモデルのファームウェアダウンロードがリンクされています: