Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
20-05-2022, 00:00
Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ - «Новости»
Рейтинг:
Категория: Новости

SEC Consult Vulnerability Lab недав­но наш­ли любопыт­ную уяз­вимость в мно­гофун­кци­ональ­ных устрой­ствах Konica Minolta и рас­ска­зали о том, как на ее исправ­ление пов­лияла эпи­демия COVID-19.

Проб­лема акту­аль­на для нес­коль­ких моделей МФУ Konica Minolta bizhub и поз­воля­ет получить пол­ный дос­туп к опе­раци­онной сис­теме на чте­ние и запись от име­ни поль­зовате­ля root. Прав­да, есть нюанс: для это­го нуж­но иметь непос­редс­твен­ный физичес­кий кон­такт с сен­сорным дис­пле­ем МФУ и воз­можность под­клю­чить к нему внеш­нюю кла­виату­ру.


Ког­да речь заходит о прин­терах, чаще все­го уяз­вимос­ти находят в драй­верах, сер­висных прог­раммах, веб‑при­ложе­ниях самого прин­тера или в реали­зации сетевых про­токо­лов этих устрой­ств. Ребята из SEC Consult пош­ли нем­ного дру­гим путем и сос­редото­чились на железе. Вооб­ще, сов­ремен­ный лазер­ный прин­тер — это по боль­шому сче­ту самый обык­новен­ный компь­ютер, раз­ве что пред­назна­чен он для реали­зации одной‑единс­твен­ной фун­кции: печати изоб­ражения на бумаге. В нем есть устрой­ства вво­да — сен­сорный дис­плей, неболь­шая кла­виату­ра, пор­ты USB и RJ-45, пос­ледова­тель­ные интерфей­сы, а некото­рые модели даже обо­рудо­ваны счи­тыва­теля­ми RFID для аутен­тифика­ции поль­зовате­лей.


МФУ обыч­но вза­имо­дей­ству­ет с поль­зовате­лем через при­ложе­ние с гра­фичес­ким интерфей­сом, которое запуще­но в пол­ноэк­ранном режиме поверх *nix-сов­мести­мой опе­раци­онной сис­темы, при этом к самой ОС прин­тера поль­зователь непос­редс­твен­ного дос­тупа не име­ет. Все дей­ствия в сис­теме, которые при­ложе­ние совер­шает при нажатии физичес­ких кно­пок или экранных объ­ектов на сен­сорном дис­плее прин­тера, выпол­няют­ся от име­ни неав­торизо­ван­ного поль­зовате­ля с огра­ничен­ными при­виле­гиями. По край­ней мере, так дол­жно быть в теории.


В сво­ем ис­сле­дова­нии спе­циалис­ты SEC Consult рас­ска­зали о том, что при работе с МФУ Konica Minolta bizhub C3300i и C3350i они замети­ли стран­ную ано­малию. А имен­но: внеш­ний вид гра­фичес­кого при­ложе­ния на сен­сорном экра­не прин­тера нем­ного менял­ся в зависи­мос­ти от кон­тек­ста нажима­емых ими кно­пок и выбира­емых меню. Это поз­волило пред­положить, что, помимо собс­твен­ной прог­раммы для работы с устрой­ством, в МФУ исполь­зуют­ся и дру­гие стан­дар­тные при­ложе­ния, вхо­дящие в ком­плект пос­тавки опе­раци­онной сис­темы. Для про­вер­ки этой гипоте­зы иссле­дова­тели под­клю­чили к прин­теру внеш­нюю USB-кла­виату­ру и, нажимая раз­ные сочета­ния кла­виш, сумели запус­тить на экра­не бра­узер Chromium. Воз­никло подоз­рение, что таким обра­зом они могут получить и дос­туп к фай­ловой сис­теме прин­тера, вклю­чая фай­лы кон­фигура­ции, сох­ранен­ные пароли и про­чие кон­фиден­циаль­ные дан­ные.


Купила мама Konica. Как специалисты нашли уязвимость и взломали прошивку МФУ - «Новости»
«Подопыт­ный» Konica Minolta bizhub C3300i — с помощью это­го дис­плея и про­вели прак­тичес­ки весь «взлом» (иллюс­тра­ция с сай­та sec-consult.com) 

Получение доступа к файловой системе


Дис­плей на МФУ Konica Minolta, как и на мно­гих дру­гих подоб­ных офис­ных устрой­ствах, нужен, что­бы управлять оче­редью печати, ска­ниро­вать изоб­ражения и изме­нять нас­трой­ки прин­тера. Для вза­имо­дей­ствия с поль­зовате­лем Konica Minolta исполь­зует самопис­ную прог­рамму, но некото­рые ее фун­кции реали­зова­ны в виде веб‑при­ложе­ния. Так, если на сен­сорном экра­не Minolta Bizhub C3300i перей­ти в раз­дел User authentication, нажать кноп­ку Public User Access, затем выб­рать на открыв­шемся экра­не раз­дел Utility, а затем еще раз Utility, откро­ется встро­енная спра­воч­ная сис­тема прин­тера. Она реали­зова­на в виде веб‑при­ложе­ния, для отоб­ражения которо­го откры­вает­ся стан­дар­тный бра­узер Chromium в пол­ноэк­ранном режиме («режиме киос­ка») без каких‑либо панелей, рамок и про­чих эле­мен­тов интерфей­са — иссле­дова­тели опре­дели­ли это по изме­нению внеш­него офор­мле­ния при­ложе­ния.


Веб‑при­ложе­ние в МФУ Konica Minolta (иллюс­тра­ция с сай­та sec-consult.com)

SEC Consult Vulnerability Lab недав­но наш­ли любопыт­ную уяз­вимость в мно­гофун­кци­ональ­ных устрой­ствах Konica Minolta и рас­ска­зали о том, как на ее исправ­ление пов­лияла эпи­демия COVID-19. Проб­лема акту­аль­на для нес­коль­ких моделей МФУ Konica Minolta bizhub и поз­воля­ет получить пол­ный дос­туп к опе­раци­онной сис­теме на чте­ние и запись от име­ни поль­зовате­ля root. Прав­да, есть нюанс: для это­го нуж­но иметь непос­редс­твен­ный физичес­кий кон­такт с сен­сорным дис­пле­ем МФУ и воз­можность под­клю­чить к нему внеш­нюю кла­виату­ру. Ког­да речь заходит о прин­терах, чаще все­го уяз­вимос­ти находят в драй­верах, сер­висных прог­раммах, веб‑при­ложе­ниях самого прин­тера или в реали­зации сетевых про­токо­лов этих устрой­ств. Ребята из SEC Consult пош­ли нем­ного дру­гим путем и сос­редото­чились на железе. Вооб­ще, сов­ремен­ный лазер­ный прин­тер — это по боль­шому сче­ту самый обык­новен­ный компь­ютер, раз­ве что пред­назна­чен он для реали­зации одной‑единс­твен­ной фун­кции: печати изоб­ражения на бумаге. В нем есть устрой­ства вво­да — сен­сорный дис­плей, неболь­шая кла­виату­ра, пор­ты USB и RJ-45, пос­ледова­тель­ные интерфей­сы, а некото­рые модели даже обо­рудо­ваны счи­тыва­теля­ми RFID для аутен­тифика­ции поль­зовате­лей. МФУ обыч­но вза­имо­дей­ству­ет с поль­зовате­лем через при­ложе­ние с гра­фичес­ким интерфей­сом, которое запуще­но в пол­ноэк­ранном режиме поверх *nix-сов­мести­мой опе­раци­онной сис­темы, при этом к самой ОС прин­тера поль­зователь непос­редс­твен­ного дос­тупа не име­ет. Все дей­ствия в сис­теме, которые при­ложе­ние совер­шает при нажатии физичес­ких кно­пок или экранных объ­ектов на сен­сорном дис­плее прин­тера, выпол­няют­ся от име­ни неав­торизо­ван­ного поль­зовате­ля с огра­ничен­ными при­виле­гиями. По край­ней мере, так дол­жно быть в теории. В сво­ем ис­сле­дова­нии спе­циалис­ты SEC Consult рас­ска­зали о том, что при работе с МФУ Konica Minolta bizhub C3300i и C3350i они замети­ли стран­ную ано­малию. А имен­но: внеш­ний вид гра­фичес­кого при­ложе­ния на сен­сорном экра­не прин­тера нем­ного менял­ся в зависи­мос­ти от кон­тек­ста нажима­емых ими кно­пок и выбира­емых меню. Это поз­волило пред­положить, что, помимо собс­твен­ной прог­раммы для работы с устрой­ством, в МФУ исполь­зуют­ся и дру­гие стан­дар­тные при­ложе­ния, вхо­дящие в ком­плект пос­тавки опе­раци­онной сис­темы. Для про­вер­ки этой гипоте­зы иссле­дова­тели под­клю­чили к прин­теру внеш­нюю USB-кла­виату­ру и, нажимая раз­ные сочета­ния кла­виш, сумели запус­тить на экра­не бра­узер Chromium. Воз­никло подоз­рение, что таким обра­зом они могут получить и дос­туп к фай­ловой сис­теме прин­тера, вклю­чая фай­лы кон­фигура­ции, сох­ранен­ные пароли и про­чие кон­фиден­циаль­ные дан­ные. «Подопыт­ный» Konica Minolta bizhub C3300i — с помощью это­го дис­плея и про­вели прак­тичес­ки весь «взлом» (иллюс­тра­ция с сай­та sec-consult.com) Получение доступа к файловой системе Дис­плей на МФУ Konica Minolta, как и на мно­гих дру­гих подоб­ных офис­ных устрой­ствах, нужен, что­бы управлять оче­редью печати, ска­ниро­вать изоб­ражения и изме­нять нас­трой­ки прин­тера. Для вза­имо­дей­ствия с поль­зовате­лем Konica Minolta исполь­зует самопис­ную прог­рамму, но некото­рые ее фун­кции реали­зова­ны в виде веб‑при­ложе­ния. Так, если на сен­сорном экра­не Minolta Bizhub C3300i перей­ти в раз­дел User authentication, нажать кноп­ку Public User Access, затем выб­рать на открыв­шемся экра­не раз­дел Utility, а затем еще раз Utility, откро­ется встро­енная спра­воч­ная сис­тема прин­тера. Она реали­зова­на в виде веб‑при­ложе­ния, для отоб­ражения которо­го откры­вает­ся стан­дар­тный бра­узер Chromium в пол­ноэк­ранном режиме («режиме киос­ка») без каких‑либо панелей, рамок и про­чих эле­мен­тов интерфей­са — иссле­дова­тели опре­дели­ли это по изме­нению внеш­него офор­мле­ния при­ложе­ния. Веб‑при­ложе­ние в МФУ Konica Minolta (иллюс­тра­ция с сай­та sec-consult.com)

Теги: CSS

Просмотров: 462
Комментариев: 0:   20-05-2022, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: