Сетевой принтер — это не просто «коробка, которая печатает». Это полноценный узел в вашей сети с собственным адресом, прошивкой и, как ни странно, уязвимостями. Если его взломают, через него могут проникнуть в локальную сеть, перехватить документы или использовать его как плацдарм для дальнейших атак. Проверить, не заражён ли принтер, можно с помощью сканеров безопасности — и это проще, чем кажется.
- Почему сетевой принтер вообще может быть заражён
- Что такое сканер безопасности для сетевых устройств
- Какие сканеры подходят для проверки принтера
- Nmap
- OpenVAS (Greenbone)
- Printer Exploitation Toolkit (PRET)
- Сканеры вендоров
- Сравнение инструментов
- Пошаговая проверка: сканируем принтер
- Шаг 1. Узнайте IP-адрес принтера
- Шаг 2. Сканируйте открытые порты
- Шаг 3. Проверьте веб-интерфейс
- Шаг 4. Запустите проверку уязвимостей
- Шаг 5. Проверьте настройки SNMP
- Шаг 6. Проанализируйте журнал принтера
- Что делать в зависимости от вашей ситуации
- У вас домашний принтер
- Вы отвечаете за офисные принтеры
- Вы подозреваете компрометацию
- Частые ошибки при проверке
- Как настроить регулярный мониторинг
- Признаки того, что принтер уже скомпрометирован
- Итог: что делать прямо сейчас
Почему сетевой принтер вообще может быть заражён
Большинство людей воспринимают принтер как «глупое» устройство. Но современные сетевые принтеры — это компьютеры под капотом. У них есть операционная система (часто на базе Linux), веб-сервер для управления, поддержка сетевых протоколов и постоянное подключение к сети.
Типичные проблемы:
- Заводские пароли не сменили при установке — кто угодно может зайти в веб-интерфейс принтера.
- Устаревшая прошивка с известными уязвимостями.
- Открытые сетевые службы, через которые можно получить доступ к устройству.
- Вредоносное ПО внедрилось через подключённый к сети компьютер и модифицировало прошивку.
- Принтер использует нешифрованные протоколы печати, и трафик можно перехватить.
Реальная история: в 2017 году хакеры скомпрометировали более 150 000 принтеров по всему миру, используя открытые порты и стандартные учётные данные. Принтеры выводили предупреждения на экран. Это была «безобидная» акция, но вместо предупреждения мог оказаться бэкдор в корпоративную сеть.
Что такое сканер безопасности для сетевых устройств
Сканер безопасности — это инструмент, который проверяет устройства в сети на известные уязвимости, открытые порты, некорректные настройки и признаки компрометации. Для принтеров это узкая категория сканеров, но есть и универсальные, которые отлично справляются.
Что именно ищет сканер:
- Открытые порты и запущенные службы (FTP, Telnet, SNMP, IPP и другие).
- Стандартные или слабые учётные данные.
- Известные уязвимости (CVE) в прошивке.
- Нешифрованные соединения там, где шифрование обязательно.
- Признаки модификации прошивки или подозрительной активности.
Какие сканеры подходят для проверки принтера
Инструментов несколько — от простых утилит до профессиональных платформ. Выбор зависит от вашей задачи и уровня подготовки.
Nmap
Бесплатный инструмент для сканирования сети. Определит открытые порты, версии служб и даже поможет выявить известные уязвимости через скрипты NSE. Это не специализированный сканер для принтеров, но для первичной диагностики — отличный вариант.
OpenVAS (Greenbone)
Мощный open-source сканер уязвимостей. Имеет базу проверок для сетевых устройств, включая принтеры HP, Brother, Xerox, Canon и других. Требует установки, но даёт детальный отчёт с рекомендациями.
Printer Exploitation Toolkit (PRET)
Специализированный инструмент именно для принтеров. Проверяет принтеры на уязвимости, связанные с протоколами печати (IPP, JetDirect, FTP-печать). Позволяет оценить, насколько легко получить несанкционированный доступ.
Сканеры вендоров
Некоторые производители принтеров предлагают собственные инструменты аудита:
- HP Web Jetadmin — проверка принтеров HP на соответствие политикам безопасности.
- Xerox Device Security Assessment — анализ настроек принтеров Xerox.
- Canon imageRUNNER Security — инструменты для аудита устройств Canon.
Сравнение инструментов
| Инструмент | Специализация | Сложность | Что находит | Кому подходит |
|---|---|---|---|---|
| Nmap | Универсальный сетевой сканер | Средняя | Открытые порты, версии служб, базовые CVE | Сетевые администраторы, IT-специалисты |
| OpenVAS | Полноценный сканер уязвимостей | Высокая | Известные уязвимости, некорректные настройки, weak credentials | Специалисты по информационной безопасности |
| PRET | Только принтеры | Средняя | Уязвимости протоколов печати, доступ к файловой системе принтера | Исследователи безопасности, IT-аудиторы |
| Сканеры вендоров | Принтеры конкретного бренда | Низкая | Несоответствие политикам безопасности, устаревшие прошивки | Администраторы, обслуживающие парк принтеров |
Пошаговая проверка: сканируем принтер
Допустим, у вас есть сетевой принтер и вы хотите проверить его. Действуем последовательно.
Шаг 1. Узнайте IP-адрес принтера
Проще всего — через панель управления на самом принтере: Настройки → Сеть → TCP/IP → IP-адрес. Или посмотрите в таблице DHCP-вашего роутера/сервера.
Шаг 2. Сканируйте открытые порты
Если используете Nmap, выполните базовое сканирование:
nmap -sV --script=ipv4-discover,snmp-info,http-title <IP-адрес принтера>
Результат покажет открытые порты (80, 443, 631, 9100, 21, 23 и т.д.), версии служб и информацию о веб-интерфейсе.
Что должно насторожить:
- Порт 23 (Telnet) — крайне нежелательно, это открытый текстовый доступ.
- Порт 21 (FTP) — если не используется специально, стоит отключить.
- Порт 9100 — стандартный JetDirect, часто используется для атак.
- Порты 161/162 (SNMP) с community string по умолчанию («public»).
Шаг 3. Проверьте веб-интерфейс
Откройте браузер и перейдите по IP-адресу принтера. Проверьте:
- Защищён ли доступ паролем.
- Используется ли HTTPS (шифрование) или только HTTP.
- Отображается ли версия прошивки — поищите её в базе CVE (cve.mitre.org).
Шаг 4. Запустите проверку уязвимостей
Если используете PRET:
python3 pret.py <IP-адрес> ps
Инструмент попробует получить доступ к файловой системе принтера через протокол PostScript. Если получилось — это серьёзный красный флаг.
Для OpenVAS создайте задачу сканирования, укажите IP принтера как цель. Результат будет в виде PDF-отчёта с рейтингом критичности.
Шаг 5. Проверьте настройки SNMP
Если SNMP открыт, попробуйте подключиться с community string «public» или «private» (стандартные значения). Если подключилось — злоумышленник может прочитать настройки принтера и даже изменить их.
Шаг 6. Проанализируйте журнал принтера
В веб-интерфейсе принтера найдите раздел «Журнал» или «Логи». Обратите внимание на:
- Необычные IP-адреса в истории печати.
- Неудачные попытки авторизации.
- Подозрительные изменения настроек без вашего участия.
Что делать в зависимости от вашей ситуации
У вас домашний принтер
Достаточно базовой проверки через Nmap или даже вручную через веб-интерфейс. Главное:
- Смените пароль по умолчанию.
- Если принтер имеет веб-интерфейс — включите шифрование.
- Отключите неиспользуемые протоколы (FTP, Telnet).
- Обновите прошивку до последней версии.
Вы отвечаете за офисные принтеры
Используйте сканеры вендоров или OpenVAS для регулярного аудита. Внедрите практику:
- Сегментация сети — принтеры в отдельном VLAN.
- Мониторинг сетевого трафика от принтеров.
- Регулярное обновление прошивок.
- Контроль физического доступа к принтерам.
Вы подозреваете компрометацию
Если сканер нашёл критические уязвимости или вы заметили подозрительную активность:
- Отключите принтер от сети.
- Выполните сброс настроек до заводских.
- Обновите прошивку с официального сайта производителя.
- Проверьте компьютеры, с которых выполнялась печать — возможно, заражение пришло с них.
- Настройте принтер заново с соблюдением всех мер безопасности.
Частые ошибки при проверке
- Сканирование без подготовки. Некоторые сканеры могут нагружать принтер запросами, что приводит к зависанию. Делайте сканирование в нерабочее время и начинайте с лёгких проверок.
- Игнорирование результатов. Нашли открытый Telnet? Не просто запишите — исправьте. Сканер диагностирует, но не лечит.
- Проверка только портов. Открытые порты — это полдела. Нужно проверить версии прошивок, настройки протоколов, учётные данные.
- Использование только одного инструмента. Nmap не заменит OpenVAS, а PRET не заменит проверку веб-интерфейса. Комбинируйте.
- Одноразовая проверка. Безопасность — процесс. Если вы проверили принтер один раз и успокоились — через полгода ситуация может измениться.
Как настроить регулярный мониторинг
Если в вашей сети больше одного-двух принтеров, ручная проверка быстро станет обузой. Настройте автоматизированный мониторинг:
- Используйте SIEM-систему (например, Wazuh или Security Onion) для сбора логов с принтеров.
- Настройте периодическое сканирование через OpenVAS — раз в месяц минимум.
- Включите оповещения о смене конфигурации принтера.
- Ведите реестр всех принтеров с версиями прошивок и датами последней проверки.
Признаки того, что принтер уже скомпрометирован
Сканер — это проактивная мера. Но есть признаки, которые вы можете заметить и без него:
- Принтер печатает непонятные документы или страницы без вашего ведома.
- Сетевой трафик принтера резко вырос (проверьте через мониторинг роутера).
- Настройки изменились без вашего участия — например, добавились новые адреса DNS.
- В логах появляются подозрительные IP-адреса.
- Принтер ведёт себя нестабильно — перезагружается, «зависает» без причины.
Итог: что делать прямо сейчас
Если вы дочитали до этого места и хотите проверить свой принтер — вот крачайший путь:
- Узнайте IP-адрес принтера.
- Откройте его в браузере — проверьте, защищён ли доступ.
- Запустите Nmap для сканирования портов.
- Если нашли уязвимости — обновите прошивку и измените настройки.
- Для офиса — внедрите регулярный аудит через OpenVAS или вендорские инструменты.
Сетевой принтер — это не просто периферия. Это точка входа в вашу сеть, которую часто забывают контролировать. Потратьте час на проверку сейчас, чтобы не тратить недели на восстановление после инцидента потом.