Принтеры-шпионы. Минпромторг предупредили о критических уязвимостях в устройствах Xerox и HP

SecPost ознакомился с исследованием компании Fplus (копия есть у редакции), итоги которого были направлены в адрес замминистра Минпромторга Василия Шпака, о том, что компания обнаружила ряд уязвимостей в принтерах HP и Xerox.

«Компанией Fplus в ходе работы по повышению безопасности критической инфраструктуры и выявлению угроз для российских потребителей проведено техническое исследование уязвимостей иностранных печатающих устройств. В рамках исследования изучен ряд популярных моделей принтеров и МФУ на предмет наличия в них скрытых угроз. По результатам во всех изученных моделях выявлены программно-аппаратные уязвимости, открывающие возможность несанкционированного доступа к web-интерфейсу управления и другим сервисам, запущенным на устройстве, а также к документам, которые на это устройства отправляются», — сказано в письме от 1 октября 2025 года.

Среди выявленных угроз уязвимость, которая позволяет несанкционированно изменять конфигурацию принтера и перенаправлять учетные данные пользователей на подконтрольный злоумышленникам сервер через LDAP (протокол хранения и передачи данных о пользователях, устройствах, сервисах и других объектах, прим. SecPost), а также уязвимость, связанная с адресной книгой пользователя, позволяющая изменять IP-адрес сервера SMB (для удаленного доступа к файлам и принтерам) или FTP (для передачи файлов по сети) и перехватывать учетные данные.

Также принтеры и МФУ марки HP без уведомления пользователя передают данные по нескольким IP-адресам. Часть IP-адресов принадлежат глобальным торговым площадкам (например Amazon), назначение других IP-адресов, говорится в письме, не удалось установить, так же, как и представить тот набор данных, которые по ним направляются. Fplus в документе добавляет, что HP может удаленно контролировать свои принтеры, также как компания может блокировать печать при использовании не оригинального картриджа.

В Минпромторге, HP и Xerox не ответили на запрос SecPost.

Летом 2023 года The Washington Post писал, что принтеры могут при печати сохранять данные файлов и передавать их третьим лицам. В материале издания уточняется, что зачастую сами производители принтеров напрямую пишут в документах о сохранении файлов на устройстве.

Принтеры HP и Xerox, несмотря на уход из РФ этих компаний после начала СВО, до сих пор продаются в госучреждения, в том числе с критической информационной инфраструктурой (КИИ). Как посчитали в сервисе «Контур.Закупки» по запросу SecPost, за восемь месяцев 2025 года заказчики по 44-ФЗ опубликовали 5,6 тыс тендеров на сумму 3,1 млрд руб на закупку принтеров, без учета закупок малого объема. Корпоративные заказчики по 223-ФЗ по той же категории товаров разместили 694 тендера на 1,1 млрд руб.

За аналогичный период 2025 года госзаказчики по 44-ФЗ потратили 8,2 млн рублей на поставку принтеров марки HP. На принтеры Xerox они провели 8 тендеров на 8,5 млн руб. По 223-ФЗ на HP было опубликовано 7 тендеров на сумму 5 млн руб, а на Xerox 4 тендера на 2 млн руб.

LDAP-редирект и перехват учетных данных — потенциально критическая уязвимость, так как может позволить злоумышленнику собирать доменные учетные записи, в том числе с повышенными правами, в зависимости от настроек инфраструктуры, рассказал SecPost собеседник среди ИБ-специалистов: «Степень влияния сильно зависит от условий эксплуатации: требуется ли физический доступ к устройству, возможно ли проведение атаки удалённо, как настроен доступ к LDAP в конкретной компании».

Подмена адресов SMB/FTP в адресной книге, по его словам, потенциально дает возможность перенаправить сканируемые документы на сервер атакующего: «Риск напрямую зависит от того, требуется ли физический доступ к принтеру и какие комплексы митигирующих мер внедрены в компании, например, DLP/CASB». 

Потенциальный риск утечки данных также исходит и от IP-адресов Amazon. Однако, говорит источник, для многих современных устройств подобный трафик является типовым — чаще всего это телеметрия, обновления или сервисные запросы. Блокировка устройства из-за использования неоригинальных картриджей может происходить с помощью криптографии — в этом случае риска утечки данных нет, однако если HP блокирует устройство удаленно через свое облако, тогда потенциальные угрозы присутствуют, заключил собеседник.

Fplus указал на давно известную уязвимость, ее можно частично купировать, отключив принтер от сети интернет либо физически, либо настройкой межсетевых экранов, успокаивает советник гендиректора по ИБ АО «КБ Рубеж» Дмитрий Кувшинников. «Однако это не решает проблему до конца: сохраняется вероятность утечки данных, угрозы уничтожения или шифрования данных на компьютере, с которым соединен принтер», — говорит он, добавляя, что полную защиту может дать только проприетарное ПО принтера и свой процессор.

В большинстве иностранных принтеров, продолжает Кувшинников, стоит иностранная криптография, поэтому первым и главным шагом должно стать избавление от импортной криптографии в принтере. «Сейчас это является явной угрозой, особенно для инфраструктуры объектов КИИ, в будущем это должно стать обязательным условием для отнесения принтера к российским изделиям», — заключил он, добавив, что для безопасности необходимо заменить ПО, плату и процессоры принтеров на российские.

Давно известно о многих уязвимостях в принтерах, МФУ и сопутствующих драйверах, и с точки зрения ИБ неизвестно, сколько еще уязвимостей будет выявлено, говорит руководитель сервисов мониторинга реагирования реагирования Jet CSIRT, «Инфосистемы Джет» Руслан Амиров. По его словам, такие устройства стоит выделять в отдельные сетевые сегменты с запретом подключения к сети, а также максимально ограничить доступ к пользователям и к серверной инфраструктуре. «Также важно анализировать сетевой трафик, в том числе связанный с принтерами и МФУ, для своевременного обнаружения попыток проведения атак и аномалий. Стоит добавить, что нужно не забывать ставить обновления, что часто не делается, потому что принтеры не воспринимаются как полноценные устройства в сети», — добавляет он.

В целях недопущения утечек данных пользователя эксперты Fplus рекомендуют использовать печатающую технику российских производителей c собственным ПО, внесённым в реестр Минцифры.