Сетевые принтеры и МФУ: скрытые риски безопасности и как их закрыть за полчаса

Несколько лет назад клиент из юридической сферы позвонил мне по поводу «медленного принтера». Приехали, посмотрели — принтер работал нормально. Зато в его веб-интерфейсе, без пароля, лежали сканы договоров и паспортов за полтора года. С того момента я отношусь к офисным МФУ совершенно иначе — и вам советую.

Почему офисный МФУ — это не просто принтер

Большинство руководителей думают о принтере примерно так: стоит в углу, жрёт картриджи, иногда жуёт бумагу. Устройство фоновое. Незаметное. Именно поэтому его никто не трогает годами — не настраивают, не обновляют, не проверяют. Купили, подключили, забыли. Пять лет работает — значит, всё нормально. Нет, не нормально.

Современный сетевой МФУ — это полноценный компьютер. Внутри — процессор, оперативная память, флеш-накопитель, а у старших моделей Kyocera TASKalfa, Canon imageRUNNER Advance, Xerox AltaLink и Ricoh MP — жёсткий диск на 40–80 гигабайт. На этом диске хранится очередь печати, адресная книга, сохранённые сканы, журнал операций, иногда — факсы. Всё это зачастую никак не зашифровано. Просто файлы на диске, без пароля, без защиты.

Я видел Canon imageRUNNER, который стоял в приёмной бухгалтерской компании пять лет. За пять лет через него прошли тысячи страниц: договоры, акты сверки, паспортные данные клиентов, платёжные поручения, выписки. Всё это время жёсткий диск аккуратно хранил копии заданий. Когда устройство наконец списали и отдали в комиссионный магазин — ни один сотрудник не подумал его очистить. Кто купил этот МФУ дальше и что с этими данными сделал — неизвестно.

Что именно лежит в памяти вашего МФУ

Зависит от модели и настроек. В базовом варианте — журнал операций: кто, когда, что распечатал или отсканировал. Казалось бы, мелочь. Но конкурент или любопытный контрагент из журнала узнаёт, с какими компаниями вы работаете, когда у вас горячий период, какие новые партнёры появились на прошлой неделе. Не катастрофа — но утечка. Тихая, незаметная, постоянная.

Дальше интереснее. Большинство МФУ среднего и старшего класса — HP LaserJet Enterprise, Ricoh MP серия, Konica Minolta bizhub — хранят очередь заданий не в оперативной памяти, а во флеш-накопителе или на HDD. Пока задание не выполнено — оно там. А часто и после выполнения тоже, если функция автоочистки отключена или никогда не настраивалась. Проверьте прямо сейчас: зайдите в веб-интерфейс МФУ по его IP-адресу и найдите раздел «Хранилище», «Document Box» или «Stored Jobs». Держу пари, там что-нибудь найдётся.

Отдельная история — адресная книга сканера. В неё вбиты email-адреса сотрудников и пути к сетевым папкам для отправки сканов. В некоторых моделях из неё можно прочитать учётные данные SMTP-аккаунта — логин и пароль почтового ящика, с которого уходят сканы. Один раз я именно так нашёл пароль от корпоративного Gmail прямо в настройках Kyocera TASKalfa 2553ci. Пароль не менялся три года. Хозяин МФУ об этом не знал и очень удивился.

Открытые порты: добро пожаловать, кто хочет

Посмотрите, что отвечает ваш МФУ на сканирование внутри сети — например, через nmap или бесплатный Advanced IP Scanner. Типичная картина для устройства 2018–2021 года без каких-либо правок в настройках: порт 21 (FTP) открыт, порт 23 (Telnet) открыт, порт 80 (веб-интерфейс по HTTP) открыт, порт 443 (HTTPS) открыт, порт 515 (LPD-печать) открыт, порт 9100 (RAW-печать) открыт. Шесть точек входа. На устройстве, которое никто не мониторит и не обновлял с момента покупки.

Telnet на МФУ — отдельный ужас. Протокол передаёт всё открытым текстом, без шифрования. Если в вашей сети есть кто-то с пакетным сниффером — он видит каждый введённый символ, включая пароли. Зачем МФУ вообще нужен Telnet? Исторически — для диагностики и управления. Сегодня — незачем абсолютно. Просто выключите его. В большинстве устройств это делается за два клика в разделе «Network Settings» → «Protocols». Занимает минуту, не больше.

FTP та же история. Когда-то по нему отправляли сканы на файловый сервер. Сегодня есть SMB, WebDAV, нормальные облачные решения. FTP без шифрования в 2026 году — это как оставлять ключи от офиса под ковриком: технически работает, фактически — дыра. Заодно проверьте, не включён ли анонимный FTP — такое встречается по умолчанию на старых аппаратах Ricoh и Sharp. Анонимный FTP означает буквально следующее: кто угодно в вашей сети подключается и читает файлы без пароля.

Заводские пароли и веб-интерфейс нараспашку

Самое распространённое, что я встречаю у новых клиентов: МФУ с паролем admin/admin или вообще без пароля на веб-интерфейсе. Устройство подключено к той же сети, что и бухгалтерские рабочие станции, сервер 1С, файловый сервер, Windows Server с Active Directory. Любой сотрудник — и любой, кто оказался в офисной сети, не важно, как — открывает браузер, вбивает IP принтера и попадает в полный административный интерфейс. Без пароля. Без вопросов.

Что именно он может там сделать? Вытащить адресную книгу с контактами. Добавить свой email как дополнительного получателя всех входящих сканов — тихо, незаметно, навсегда, пока кто-нибудь не заметит. Прочитать сохранённые задания. Перезагрузить устройство в самый неудобный момент — например, когда нужно срочно распечатать документы для клиента. Залить модифицированную прошивку — в случае с рядом моделей HP это реально возможно и задокументировано в публичных CVE. И всё это без физического доступа к железу, из обычного браузера по локальной сети.

Смените пароль прямо сегодня. Поставьте что-нибудь длиннее восьми символов, с буквами и цифрами. Запишите в корпоративный парольный менеджер или хотя бы в защищённый паролем документ на ограниченном сетевом ресурсе. Это займёт четыре минуты. Ещё две минуты — включите HTTPS и отключите HTTP в разделе «Безопасность» → «SSL/TLS». Сертификат будет самоподписанный, браузер выдаст предупреждение — но это в разы лучше, чем передавать учётные данные и команды управления открытым текстом по обычному HTTP.

Прошивка трёхлетней давности — это уязвимость, а не норма

Прошивка МФУ — это операционная система устройства. Как любая ОС, она содержит баги. Как любые баги, некоторые из них — дыры в безопасности. Производители регулярно выпускают обновления, которые эти дыры закрывают. HP выпускает прошивки для LaserJet Enterprise примерно раз в квартал. Canon и Kyocera — реже, но тоже стабильно. Lexmark — по мере накопления критических исправлений. Бывает и срочные патчи вне расписания — когда находят что-то серьёзное.

Проблема в том, что обновление прошивки МФУ никто не ставит в приоритет. Windows Server обновляется по расписанию через WSUS, антивирус живёт с актуальными базами, КриптоПро вовремя продлевается, 1С обновляют хотя бы раз в квартал — а МФУ тихонько стоит с прошивкой 2021 года. Я проверяю это у каждого нового клиента. Примерно в семи случаях из десяти нахожу отставание больше года. Примерно в трёх из десяти — прошивка не обновлялась вообще с момента покупки. Ни разу.

Проверить версию просто: открываете веб-интерфейс МФУ, находите раздел «About», «О системе» или «Device Information», записываете номер. Заходите на сайт производителя, ищете поддержку своей модели, сравниваете. Если разница больше полугода — обновляйте. Сама процедура занимает 15–20 минут, устройство один раз перезагружается, работа печати не теряется. Ничего страшного. Зато вы закрываете потенциально критические уязвимости, которые за это время успели задокументировать и опубликовать в открытых источниках.

Сетевая изоляция: самый надёжный из всех инструментов

Всё перечисленное выше правильно, но это работа с симптомами. По-настоящему надёжное решение — сетевая изоляция. Вынести МФУ в отдельный VLAN, из которого нет прямого доступа к серверам и рабочим станциям. Рабочие компьютеры к нему печатают — но сам МФУ в основную сеть не ходит и ни с чем не взаимодействует без явного разрешения в правилах файрвола. Даже если устройство скомпрометировано или на нём окажется вредоносная прошивка — из своего VLAN оно никуда не доберётся.

Для малого офиса с управляемым коммутатором — Cisco SG300, Mikrotik CRS, TP-Link T-серия или UniFi от Ubiquiti — это делается за час. Создаёте VLAN, например номер 20, назначаете туда порты принтеров и МФУ, настраиваете маршрутизацию только в одну сторону — рабочие станции могут слать задания на принтер, принтер сам никуда не ходит. Стоит это ноль рублей сверх того железа, что уже есть. Если управляемого коммутатора нет — это повод его наконец купить. Cisco SG300-10 б/у обходится в 4 000–6 000 рублей, UniFi US-8-60W новый — около 14 000. Инвестиция разовая, польза постоянная.

Ещё один момент, который часто упускают: проверьте, куда МФУ ходит в интернет. Многие корпоративные аппараты умеют обновляться сами, отправлять телеметрию, подключаться к облачным сервисам производителя. Некоторые из этих функций полезны — например, автоматическое обновление прошивки. Большинство — нет. Порезать исходящий трафик с МФУ через правила файрвола или ACL на маршрутизаторе разумно: оставьте порт 587 для отправки сканов по email, 443 для обновлений с сайта производителя. Всё остальное — закрыть и не жалеть.

Конкретный чеклист: что делать прямо сегодня

Вот что я делаю, когда прихожу к новому клиенту и вижу МФУ в сети. Шаг первый: открываю браузер, ввожу IP-адрес устройства. Он виден в настройках принтера на любом рабочем компьютере или в таблице DHCP-аренды на роутере. Открылось без пароля — уже плохой знак. Иду в настройки безопасности, выставляю пароль администратора. Длинный, осмысленный, записанный в нормальном месте, а не на стикере на самом МФУ — такое тоже видел.

Шаг второй: проверяю активные сетевые протоколы в разделе «Network Settings» → «Protocols» или аналогичном. Отключаю FTP, Telnet, LPD, если они не используются активно для каких-то конкретных задач. SNMPv1 меняю на SNMPv3 или отключаю совсем — у SNMPv1 нет нормальной аутентификации. Включаю HTTPS, отключаю HTTP. Занимает десять минут. Шаг третий: смотрю версию прошивки и при необходимости обновляю. Ещё 15–20 минут с перезагрузкой устройства.

Шаг четвёртый: проверяю хранилище и очередь заданий. Ищу Document Box, Stored Jobs, буфер сканера. Если что-то лежит — очищаю. Включаю автоочистку, если настройка есть. Шаг пятый: смотрю адресную книгу, убираю лишних получателей сканов, проверяю SMTP-настройки — не торчит ли там пароль в открытом виде. Шаг шестой: ставлю напоминание в календарь раз в полгода — проверить прошивку снова. Всё. Тридцать минут работы, и МФУ перестаёт быть самой незащищённой точкой во всей офисной инфраструктуре.

Частые вопросы

Может ли злоумышленник реально взломать офис через принтер?
Да, и это не теория. Уязвимости в прошивках HP LaserJet, Lexmark и Ricoh позволяли выполнять произвольный код прямо на устройстве — CVE-2021-39237, CVE-2022-3942 и ряд других задокументированы публично и давно известны специалистам. Если МФУ находится в той же сети, что и рабочие станции с серверами, он может стать точкой входа или плацдармом для перемещения внутри сети. Особенно если прошивка устаревшая, пароля нет и Telnet открыт.

Нужно ли обновлять прошивку МФУ, если он нормально печатает?
Обязательно. Нормальная печать не означает безопасность — это разные вещи. Производители закрывают уязвимости в прошивках точно так же, как Microsoft закрывает дыры в Windows через обновления. Ваш МФУ может прекрасно печатать и одновременно иметь уязвимость, через которую можно считать его содержимое или использовать устройство в атаке на сеть. Проверяйте версию прошивки хотя бы раз в полгода — занимает пять минут.

Что делать с МФУ, для которого производитель больше не выпускает обновления?
Изолируйте его в отдельном VLAN с минимальными правами доступа и начинайте планировать замену — желательно в течение года. Устройство без поддержки производителя — это постоянно растущий риск, который нельзя закрыть программными мерами. Если бюджет сейчас не позволяет, хотя бы поставьте нормальный пароль и закройте все лишние порты. При окончательном списании — обязательно выполните сброс к заводским настройкам с очисткой HDD: такая функция есть у большинства корпоративных моделей в разделе администрирования.

Как понять, хранит ли мой МФУ копии распечатанных документов?
Откройте веб-интерфейс МФУ по его IP-адресу и найдите раздел «Document Box», «Stored Jobs», «Job Log» или аналогичный — у большинства корпоративных моделей он есть и найти его несложно. Если там лежат файлы — это ваши документы без какой-либо защиты. Нужно либо включить автоочистку после выполнения задания, либо настроить шифрование хранилища — эта опция есть у Kyocera TASKalfa, Canon imageRUNNER Advance и части HP LaserJet Enterprise в разделе настроек безопасности.