Imprimanta ca risc de securitate ignorat

Imaginați-vă o firmă care ia securitatea în serios. Calculatoarele se actualizează singure, serverele sunt supravegheate de un sistem de monitorizare, parolele sunt impuse prin politici. Și în colțul coridorului stă o imprimantă multifuncțională, acolo din ziua în care firma s-a mutat. Rulează cu software-ul din fabrică, parola de acces la setări este „admin" și nimeni nu a repornit-o sau verificat-o vreodată. Nimeni nu consideră asta ciudat. La urma urmei, e „doar o imprimantă".

Numai că nu este. Este un calculator cu drepturi depline: are propriul sistem de operare, procesor, memorie, conexiune la rețea și un disc pe care se stochează date. Face exact ceea ce ați aștepta de la un calculator, inclusiv lucruri pe care nu le-ați aștepta. Singura diferență este că nimeni nu o percepe ca pe un calculator și tocmai de aceea scapă atenției ani de zile, în timp ce se securizează tot restul.

Am analizat unde se află exact riscul și cum îl puteți reduce semnificativ, de cele mai multe ori gratuit și în timp scurt.

De ce este imprimanta o țintă reală pentru atacuri

Sub carcasa unei imprimante de rețea rulează un server mic. Are un sistem de operare, echipament de rețea și o interfață web prin care o configurați. Aceeași interfață care, prin natura sa, este accesibilă oricui ajunge în rețeaua dvs. Pentru un atacator, aceasta nu este o periferică, ci un alt dispozitiv cu propria adresă și cu ușile deschise.

În cazul unui dispozitiv multifuncțional, suprafața de atac se extinde și mai mult. Aceeași cutie este totodată scanner, adesea și fax, adică o conexiune la linia telefonică și un spațiu de stocare. Astfel, reunește rețeaua de date, linia telefonică și discul intern într-un singur punct, pe care de obicei nimeni nu îl consideră sensibil.

Și mai este și modul în care imprimanta există. Rulează continuu, nimeni nu o oprește sau repornește și nimeni nu îi urmărește „sănătatea", spre deosebire de un server, unde cineva ar observa imediat o cădere sau un comportament neobișnuit. Un antivirus obișnuit sau un instrument de monitorizare a activității care vă protejează calculatoarele nu poate fi instalat pe ea, astfel că stă complet în afara supravegherii. În plus, în cele mai multe firme lipsește și din lista dispozitivelor administrate, formal, ca și cum nu ar exista. Rezultatul? Un dispozitiv care este permanent pornit, permanent conectat și permanent invizibil.

Suprafața de atac, strat cu strat

Privind imprimanta prin prisma securității, riscul se compune din mai multe straturi independente. Niciunul nu este exotic, problema este că se suprapun.

Autentificarea. Cel mai frecvent punct de intrare este cel mai banal: parola implicită pe care nimeni nu a schimbat-o sau absența oricărei parole. Cine ajunge la pagina de administrare poate configura dispozitivul după bunul plac.

Protocoale și porturi deschise. Imprimanta „vorbește" mai multe limbaje simultan. Portul 9100 (tipărire raw, cunoscut și ca JetDirect) acceptă date de tipărire direct, fără autentificare și fără criptare. La acestea se adaugă alte protocoale de tipărire (IPP, LPD), protocolul de gestionare a dispozitivului (SNMP), acesta este adesea deschis cu parola publică „public" și uneori Telnet, FTP sau SMB, demult depășite. Fiecare port deschis și neutilizat este o ușă pe care nimeni nu o păzește.

Software neactualizat. Imprimantele nu au, de obicei, niciun ciclu de actualizări. Pe când la calculatoare actualizările regulate sunt ceva de la sine înțeles, firmware-ul imprimantei rămâne ani la rând la fel cum a ieșit din fabrică, inclusiv cu vulnerabilitățile pe care producătorul le-a descris și remediat între timp.

Date stocate. Discul intern sau memoria dispozitivului rețin sarcini de tipărire, scanare și fax. Documentele tipărite cu mult timp în urmă pot rămâne fizic pe dispozitiv.

Transfer necriptat. Dacă tipărirea funcționează fără criptare (de obicei prin portul 9100), sarcina care circulă prin rețea poate fi interceptată. Un document sensibil călătorește astfel în formă lizibilă.

Credențiale stocate. Funcții precum scanarea în e-mail sau conectarea la directorul firmei necesită ca imprimanta să memoreze parolele altor servicii. Unele dispozitive le stochează într-un format din care pot fi citite, atacatorul obține astfel acces la sisteme care nu au nicio legătură directă cu imprimanta.

Punct de pivotare. Și aici se leagă totul. Imprimanta se află în rețea alături de celelalte dispozitive ale dvs. Odată ce cineva o preia, nu mai este o țintă – devine un punct de lansare din interiorul rețelei, de unde continuă spre ceea ce îl interesează cu adevărat.

Expunere la internet. Cel mai rău scenariu este o imprimantă (sau gestionarea sa în cloud) accesibilă direct din internet. Atacatorul nu mai trebuie să pătrundă mai întâi în rețeaua dvs. dispozitivul poate fi găsit și contactat de oricine din lume.

Nu este teorie

Nimic din toate acestea nu este ipotetic. Atacurile asupra imprimantelor sunt documentate, repetate și bine descrise.

Există, de exemplu, instrumentul de cercetare PRET, disponibil public, dezvoltat la Ruhr University Bochum din Germania. Autorii săi au testat cu el câteva zeci de imprimante de la diferiți producători și au constatat că toate sunt vulnerabile la cel puțin unul dintre atacurile testate. De la simpla scoatere din funcțiune a dispozitivului până la citirea sarcinilor de tipărire și a fișierelor de sistem. Instrumentul poate accesa fișierele de pe imprimantă, manipula sarcinile și chiar deteriora dispozitivul.

Și câte imprimante stau de fapt larg deschise? La asta răspunde Shodan, un motor de căutare care cartografiază dispozitivele conectate la internet. În februarie 2017, prin intermediul lui erau vizibile peste 48 000 de dispozitive de tipărire accesibile direct din internet pe portul 9100. Din astfel de liste au apărut incidente repetate în masă: în 2016, mii de imprimante conectate, mai ales în universități americane, au început să tipărească pliante de ură nesolicitate, iar campanii similare s-au repetat de atunci de mai multe ori. Mereu după același tipar, imprimante cu portul deschis și fără nicio protecție.

Cel mai recent și poate cel mai grăitor exemplu datează din 2025. Firma de securitate Rapid7 a publicat opt vulnerabilități care au afectat 748 de modele de dispozitive de la cinci producători pe lângă Brother, și modele Fujifilm, Ricoh, Toshiba și Konica Minolta. Cea mai gravă dintre ele (înregistrată ca CVE-2024-51978, cu un scor critic de 9,8 din 10) permite unui atacator să genereze de la distanță parola de administrator din fabrică: aceasta este derivată din numărul de serie, care poate fi aflat tot de la distanță. Și deoarece parola este setată încă din fabrică, simpla actualizare a software-ului nu poate elimina complet problema – singura apărare fiabilă este să schimbați parola. Sunt afectate milioane de dispozitive, deși potrivit cercetătorilor nu există deocamdată semne de exploatare activă și producătorul a lansat remedieri.

Cu alte cuvinte: chiar dacă aveți firmware-ul complet actualizat, cât timp nu schimbați parola implicită, o parte din risc rămâne. Ceea ce ne aduce la ce anume se poate face concret în această privință.

Ilustrație: AI-generated

Esențialul: un checklist de 30 de minute

Lista de mai jos este ordonată după raportul dintre câștigul de securitate și timpul investit – de la pașii care elimină cel mai mare risc în câteva minute, la cei care reprezintă mai degrabă o finisare. Majoritatea se realizează prin interfața web a imprimantei și nu costă nimic. Dacă aveți timp puțin, concentrați-vă pe primele trei puncte – acelea sunt esențiale.

Schimbați parola implicită de administrator. Este cel mai important pas și totodată cel mai rapid. Prin aceasta închideți cea mai frecventă poartă de intrare – iar cazul din 2025 a arătat că uneori este singura apărare care funcționează cu adevărat.
Dezactivați protocoalele și porturile nefolosite. Telnet și FTP aproape că nu sunt necesare niciodată. Dezactivați tipărirea raw pe portul 9100, dacă o puteți înlocui cu o alternativă mai sigură. Regula este simplă: ce nu folosiți, opriți.
Actualizați firmware-ul. Instalați cea mai recentă versiune de la producător și, dacă dispozitivul oferă această opțiune, activați actualizările automate. Astfel veți închide vulnerabilitățile cunoscute și descrise public.
Verificați dacă imprimanta nu este accesibilă din internet. Aflați adresa IP publică și verificați dacă nu este expusă exterior. Poate ajuta și căutarea acestei adrese în Shodan, menționat mai sus. O imprimantă nu are ce căuta pe internetul public dacă este acolo, aceasta este prioritatea dvs. numărul unu.
Activați criptarea. Accesați setările prin HTTPS în loc de HTTP nesecurizat și folosiți tipărirea criptată (IPPS) acolo unde dispozitivul suportă. Astfel faceți imposibilă interceptarea autentificării și a sarcinilor de tipărire.
Securizați SNMP. Dacă nu îl folosiți, dezactivați-l. Dacă da, schimbați parola implicită „public" cu una proprie. Altfel oferiți informații despre dispozitiv oricui le solicită.
Izolați imprimantele în propriul segment de rețea (VLAN). Astfel limitați cât de departe se poate ajunge dintr-o imprimantă eventual compromisă. Este ceva mai solicitant și necesită intervenție în rețea, dar reduce semnificativ daunele în cel mai rău scenariu.
Verificați credențialele stocate. Examinați setările de scanare în e-mail și de conectare la director. Scopul este să verificați dacă dispozitivul nu stochează parolele altor servicii într-un format lizibil – dacă da, discutați cu producătorul sau limitați funcția.
Activați ștergerea sarcinilor stocate și criptarea discului. Dacă modelul dvs. permite ștergerea automată a sarcinilor finalizate și criptarea discului intern, configurați ambele opțiuni. Astfel scăpați de datele care altfel ar rămâne inutil pe dispozitiv.
Dezactivați funcțiile cloud inutile. Opriți accesul de la distanță și serviciile cloud oriunde nu le utilizați efectiv. Fiecare funcție activată este o suprafață suplimentară care trebuie supravegheată.

Parcurgerea întregii liste pentru o singură imprimantă vă va lua aproximativ jumătate de oră. Cea mai mare parte a riscului este acoperită deja de primele patru puncte.

Pentru medii mai mari: când nu aveți cinci imprimante, ci cincizeci

Dacă administrați zeci de dispozitive, parcurgerea manuală a checklist-ului nu va fi sustenabilă pe termen lung iar acolo unde o acțiune unică nu este suficientă, este nevoie de un sistem. Imprimantele trebuie incluse în lista dispozitivelor administrate și în monitorizare la fel ca și calculatoarele și serverele; ce nu este în evidență nu se actualizează și nu se supraveghează. Firmware-ul merită gestionat centralizat, nu dispozitiv cu dispozitiv.

Un subiect separat îl reprezintă tipărirea securizată (pull printing), prin care documentul este tipărit abia după ce vă autentificați la dispozitiv. Până atunci sarcina „așteaptă" și nu rămâne în tavă, unde oricine ar putea-o citi. Rezolvă atât securitatea, cât și confidențialitatea documentelor sensibile. Acestui domeniu îi vom dedica un articol separat; deocamdată este suficient să știți că pentru un număr mai mare de dispozitive improvizația nu se justifică și are sens să includeți imprimantele în procesele obișnuite de securitate.

Sfârșitul ciclului de viață înseamnă risc de scurgere a datelor

Un moment este ignorat aproape întotdeauna: ce se întâmplă cu imprimanta când și-a îndeplinit rolul. La casare, vânzare sau la returnarea unui echipament în leasing, pleacă și cu discul iar pe acesta pot fi documente care au trecut prin ea. Facturi, contracte, date personale. O imprimantă care ani de zile a tipărit lucruri sensibile reprezintă la plecare același risc ca un calculator aruncat doar că nimeni nu își dă seama.

Soluția este directă: înainte de predarea dispozitivului, ștergeți discul în siguranță cu funcția producătorului sau, dacă este posibil, scoateți-l fizic și distrugeți-l. Pentru echipamentele închiriate, stabiliți modul de gestionare a datelor direct în contract. Sunt câteva minute de muncă, de care depinde dacă documentele dvs. nu pleacă împreună cu vechea imprimantă la cineva necunoscut.

Concluzie

La securitatea imprimantelor există ceva neobișnuit: raportul dintre beneficiu și efort este extrem de avantajos. Majoritatea pașilor sunt gratuiți sau ieftini. Se realizează prin interfața web și durează câteva minute în schimb, închid ușile prin care se atacă în mod real. Nu este o investiție în tehnologie scumpă, ci o jumătate de oră de atenție acordată unui dispozitiv care nu a primit-o până acum.

Iar riscul nu este inventat. Imprimantele sunt scanate, preluate și folosite ca punct de pivotare de mult timp și în mod repetat, indiferent de producător. Un prim pas concret: alegeți astăzi o imprimantă, deschideți setările ei și parcurgeți primele trei puncte din checklist. Schimbarea parolei, dezactivarea protocoalelor inutile, actualizarea firmware-ului. Zece minute și aveți cea mai mare parte a riscului sub control.

Mic glosar de termeni

PRET (Printer Exploitation Toolkit) – instrument disponibil public, dezvoltat la o universitate germană, destinat testării securității imprimantelor. Se conectează la dispozitiv și verifică dacă prin vulnerabilitățile sale se pot accesa date sau dacă dispozitivul poate fi preluat. Inițial un instrument de cercetare, dar care servește la fel de bine și unui atacator.

Shodan – un motor de căutare care, în loc de pagini web, indexează dispozitivele conectate la internet: camere, routere, imprimante. Permite găsirea tuturor imprimantelor cu portul deschis accesibile din internet – de aceea este un instrument agreat atât de cercetătorii în securitate, cât și de atacatori.

Portul 9100 (tipărire raw / JetDirect) – „intrarea" în imprimantă prin care aceasta acceptă date de tipărire direct, fără parolă și fără criptare. Practic pentru tipărire – dar dacă este accesibil din exterior, oricine poate trimite prin el orice pe imprimantă.

Firmware – software integrat direct în dispozitiv, care îl controlează (echivalentul sistemului de operare al unui calculator). La fel ca orice alt software, are nevoie de actualizări care remediază vulnerabilitățile descoperite.

SNMP – protocol pentru administrarea și monitorizarea de la distanță a dispozitivelor de rețea. Problema constă de obicei în faptul că este adesea activ cu parola implicită „public" – adică un acces pe care îl cunoaște toată lumea.

VLAN – modalitate de a împărți o rețea fizică în mai multe segmente separate. Plasarea imprimantelor în propriul VLAN înseamnă că un atacator nu poate ajunge direct din imprimanta compromisă la restul rețelei.

CVE – sistem global de identificare a vulnerabilităților de securitate specifice. Fiecare primește un cod unic (ex. CVE-2024-51978) și un scor de severitate de la 0 la 10, pentru a putea fi discutată fără ambiguitate și pentru a se putea urmări remedierea sa.

Pull printing (tipărire securizată) – mod în care documentul este tipărit abia după ce vă autentificați la dispozitiv (cu card, cod). Până atunci sarcina nu stă tipărită în tavă, de unde ar putea-o citi sau lua oricine.

Nume	Domeniu	Valabilitate	Descriere
PHPSESSID	www.tonerdepot.ro	14 zile	Cookie-uri generate de aplicații bazate pe limbajul PHP. Acesta este un identificator universal folosit pentru a menține variabilele sesiunii utilizator. De regulă, acesta este un număr generat aleatoriu, modul în care este utilizat poate fi specific unui anumit site web, dar un bun exemplu este menținerea stării de autentificare a utilizatorului între pagini.
nette-browser	www.tonerdepot.ro	relație	Acest cookie este folosit pentru a înregistra condițiile de eroare ale aplicației. Este esențial ca afișajul să funcționeze corect.
eu-cookies	www.tonerdepot.ro	14 zile	Acest cookie este folosit pentru a reține preferințele de consimțământ ale vizitatorilor. Este esențial ca cookie-urile banner să funcționeze corect.

Nume

Domeniu

Valabilitate

Descriere

PHPSESSID

www.tonerdepot.ro

14 zile

Cookie-uri generate de aplicații bazate pe limbajul PHP. Acesta este un identificator universal folosit pentru a menține variabilele sesiunii utilizator. De regulă, acesta este un număr generat aleatoriu, modul în care este utilizat poate fi specific unui anumit site web, dar un bun exemplu este menținerea stării de autentificare a utilizatorului între pagini.

nette-browser

www.tonerdepot.ro

relație

Acest cookie este folosit pentru a înregistra condițiile de eroare ale aplicației. Este esențial ca afișajul să funcționeze corect.

eu-cookies

www.tonerdepot.ro

14 zile

Acest cookie este folosit pentru a reține preferințele de consimțământ ale vizitatorilor. Este esențial ca cookie-urile banner să funcționeze corect.

Nume	Domeniu	Valabilitate	Descriere
_ga	.tonerdepot.ro	2 ani	Acest nume de cookie este asociat cu Google Universal Analytics - care este o actualizare semnificativă a serviciului de analiză Google cel mai frecvent utilizat. Acest cookie este utilizat pentru a distinge utilizatorii unici prin atribuirea unui număr generat aleatoriu ca identificator de client. Este inclus în fiecare solicitare de pagină dintr-un site și este utilizat pentru a calcula datele despre vizitatori, sesiuni și campanii pentru rapoartele de analiză a site-urilor.
_gat	.tonerdepot.ro	1 minute	Acest cookie face parte din Google Analytics și este utilizat pentru a limita solicitările (limită de solicitare).
_gid	.tonerdepot.ro	1 zi	Acest cookie este setat de Google Analytics. Stochează și actualizează o valoare unică pentru fiecare pagină vizitată și este utilizată pentru numărarea și urmărirea afișărilor de pagină.

Nume

Domeniu

Valabilitate

Descriere

_ga

.tonerdepot.ro

2 ani

Acest nume de cookie este asociat cu Google Universal Analytics - care este o actualizare semnificativă a serviciului de analiză Google cel mai frecvent utilizat. Acest cookie este utilizat pentru a distinge utilizatorii unici prin atribuirea unui număr generat aleatoriu ca identificator de client. Este inclus în fiecare solicitare de pagină dintr-un site și este utilizat pentru a calcula datele despre vizitatori, sesiuni și campanii pentru rapoartele de analiză a site-urilor.

_gat

.tonerdepot.ro

1 minute

Acest cookie face parte din Google Analytics și este utilizat pentru a limita solicitările (limită de solicitare).

_gid

.tonerdepot.ro

1 zi

Acest cookie este setat de Google Analytics. Stochează și actualizează o valoare unică pentru fiecare pagină vizitată și este utilizată pentru numărarea și urmărirea afișărilor de pagină.

Nume	Domeniu	Valabilitate	Descriere
_fbp	.tonerdepot.ro	3 luni	Utilizează Facebook pentru a livra o varietate de produse promoționale, cum ar fi licitarea în timp real de la agenții de publicitate terți.
IDE	.doubleclick.net	1 an	Acest cookie este setat de Doubleclick și realizează informații despre modul în care utilizatorul final utilizează site-ul web și orice publicitate pe care utilizatorul final ar fi putut să o vadă înainte de a vizita site-ul respectiv.
test_cookie	.doubleclick.net	15 minute	Acest cookie este setat de DoubleClick (care este deținut de Google) pentru a determina dacă browserul vizitatorului site-ului web acceptă cookie-uri.
_gcl_au	.tonerdepot.ro	3 luni	Acest cookie este setat de Doubleclick și realizează informații despre modul în care utilizatorul final utilizează site-ul web și orice publicitate pe care utilizatorul final ar fi putut să o vadă înainte de a vizita site-ul respectiv.

Nume

Domeniu

Valabilitate

Descriere

_fbp

.tonerdepot.ro

3 luni

Utilizează Facebook pentru a livra o varietate de produse promoționale, cum ar fi licitarea în timp real de la agenții de publicitate terți.

IDE

.doubleclick.net

1 an

Acest cookie este setat de Doubleclick și realizează informații despre modul în care utilizatorul final utilizează site-ul web și orice publicitate pe care utilizatorul final ar fi putut să o vadă înainte de a vizita site-ul respectiv.

test_cookie

.doubleclick.net

15 minute

Acest cookie este setat de DoubleClick (care este deținut de Google) pentru a determina dacă browserul vizitatorului site-ului web acceptă cookie-uri.

_gcl_au

.tonerdepot.ro

3 luni