В корпоративных сетях злоумышленникам всё сложнее обнаружить рабочие станции без защиты EDR. Вследствие этого их внимание смещается на компрометацию серверов и узкоспециализированных устройств. Эти аппараты подключены к сети, обладают широкими правами доступа, при этом лишены защиты EDR и зачастую не ведут журналы событий. Типы уязвимых офисных девайсов мы детально рассматривали раньше. В текущих кибератаках 2025 года основные цели — сетевые аппараты (VPN-шлюзы, файрволы, маршрутизаторы), системы видеомониторинга и серверное оборудование. Однако принтеры тоже остаются под угрозой. Об этом напомнил независимый эксперт Петер Гайслер на саммите Security Analyst Summit 2025, представив уязвимость в устройствах Canon (CVE-2024-12649, CVSS 9.8), позволяющую запуск вредоносного кода. Ключевая особенность: для атаки достаточно отправить на печать обычный с виду документ.
Скрытая угроза: механизм работы CVE-2024-12649
Эксплуатация начинается с печати файла формата XPS. Этот разработанный Microsoft стандарт включает всё для корректного вывода документа на бумагу и является аналогом PDF. По сути, XPS представляет собой ZIP-архив с детальным описанием документа, изображениями и применяемыми шрифтами. Шрифты обычно сохраняются в популярном формате TTF (TrueType Font), созданном Apple. Именно в шрифте, который традиционно не считается угрозой, содержится зловредный код.
Формат TTF задуман так, чтобы символы отображались одинаково на любых носителях и в любых размерах. Для этого к буквам добавляются инструкции хинтинга — команды для миниатюрной виртуальной машины, обеспечивающей базовые функции программирования: управление памятью, условные переходы. Гайслер и коллеги исследовали реализацию этой виртуальной машины в устройствах Canon и выявили небезопасное выполнение команд, например — отсутствие проверки на переполнение стека.
В результате был разработан вредоносный шрифт. При печати документа с ним на определённых моделях принтеров Canon это приводит к переполнению стека и выполнению произвольного кода. Атака целиком содержится в файле TTF — остальные компоненты XPS безвредны. При этом обнаружить угрозу сложно: первая часть кода выглядит как легитимные инструкции TTF, вторая — адаптирована под специализированную ОС Canon (DryOS).
Стоит отметить, что Canon активно укрепляет защиту прошивок, используя механизмы вроде регистров DACR и NX-флагов в ARM-процессорах для предотвращения модификации кода. Однако архитектура DryOS не поддерживает современные технологии защиты памяти (ASLR, Stack Canary). Исследователям удалось обойти ограничения, разместив вредоносный код через буфер памяти протокола IPP.
Возможные способы эксплуатации угрозы
В рекомендациях Canon указано, что уязвимость может быть использована удалённо при доступности принтера через интернет. Компания советует ограничить доступ к устройству средствами файрвола. Это правильная мера, но она не исключает другие сценарии.
Гайслер описал более вероятный гибридный метод: злоумышленник отправляет сотруднику фишинговое письмо или сообщение с документом, убеждая его распечатать файл. Если жертва отправит документ на печать внутреннего принтера (без выхода в интернет), вредоносный код активируется. Возможности такого ПО ограничены, но оно способно создать туннель для доступа атакующих внутрь сети или пересылать копии печатаемых документов. Для юридических компаний это грозит серьёзными утечками данных.
Меры противодействия
Уязвимость CVE-2024-12649 и схожие пробелы устраняются обновлением прошивки по инструкциям Canon. Проблема в том, что во многих организациях отсутствуют процедуры регулярного обновления прошивок периферийных устройств, что необходимо исправить.
Специалисты предупреждают: векторов атак на специализированные устройства множество, поэтому следует минимизировать риски:
- сегментировать сеть, ограничивая доступ принтера к другим узлам и блокируя запросы от неуполномоченных пользователей;
- деактивировать неиспользуемые сервисы на устройстве;
- установить сложные уникальные пароли для администраторского доступа;
- внедрить комплексную защиту: EDR на все серверы и рабочие станции, современный межсетевой экран и SIEM-мониторинг сети. Рекомендуется анализировать трафик принтеров через NGFW для обнаружения аномалий.