È davvero importante aggiornare il firmware della stampante?

Cos'è il firmware della stampante, quando va aggiornato e quando invece è preferibile non farlo.

Non sono solamente gli sviluppatori software a rilasciare aggiornamenti per i loro programmi. Anche i produttori di dispositivi hardware rilasciano di frequente degli aggiornamenti software, almeno fino a quando il device non viene dichiarato non più supportato (EoL, End-of-Life).

Questi pacchetti di aggiornamento vengono chiamati aggiornamenti firmware. Con il termine firmware si fa infatti riferimento al software incorporato all’interno di un dispositivo elettronico, come ad esempio una stampante, un router, uno smartphone o un televisore. Per i PC desktop e notebook si parla più comunemente di aggiornare il BIOS, anche nella sua variante più moderna chiamata UEFI.
Il firmware risiede su una memoria di tipo non volatile che risulta integrata nel dispositivo stesso ed è utilizzato per controllare le funzioni hardware del dispositivo e gestire la sua operatività.

Cos’è il firmware della stampante

Il firmware della stampante controlla il flusso di dati tra il computer e la stampante stessa, regola l’alimentazione della carta, il movimento della testina di stampa, la temperatura degli inchiostri e molto altro ancora.

Il firmware può essere occasionalmente aggiornato dal produttore per correggere bug, migliorare la sicurezza e introdurre nuove funzionalità. La procedura di aggiornamento può essere automatica ma nella maggior parte dei casi deve essere confermata espressamente e autorizzata dall’utente. Anzi, suggeriamo di verificare nelle impostazioni della stampante che l’installazione del firmware non avvenga in modo automatico.

L’aggiornamento del firmware di una stampante può essere effettuato tramite una procedura specifica descritta dal produttore del dispositivo: in alcuni casi la stampante effettua il download del nuovo firmware quindi chiede conferma per l’installazione (è necessario agire sullo schermo presente sul corpo della stampante).

In altri casi l’aggiornamento può essere richiesto dall’interfaccia Web di amministrazione della stampante: per le stampanti di rete l’applicazione del firmware aggiornato può essere richiesta tramite il pannello che risponde all’indirizzo IP privato della stampante.

Ancora, l’installazione del firmware aggiornato può avvenire attraverso l’interfaccia del driver della stampante o mediante un software dedicato.

Aggiornare o non aggiornare il firmware della stampante?

Aggiornare il firmware della stampante può essere utile per migliorare le funzionalità, risolvere bug e comportamenti anomali, problemi di compatibilità e di sicurezza.

Concentriamoci proprio sull’aspetto della sicurezza: le stampanti sono ovunque. Sono nelle grandi e piccole imprese, nelle nostre case, nelle scuole.
Possono rappresentare una minaccia per la sicurezza, l’integrità, la riservatezza e la disponibilità dei dati?

Nelle pagine de IlSoftware.it abbiamo parlato spesso di vulnerabilità che interessano le stampanti dei vari produttori. In molti casi vi sono rischi di Remote Code Execution (RCE): questo significa che un aggressore, sfruttando una o più lacune di sicurezza insite nel firmware della stampante, può eseguire codice arbitrario.

Il firmware della stampante può contenere vulnerabilità di sicurezza

C’è un documento dal titolo Exploiting Network Printers elaborato tempo fa da Jens Müller che risulta ancora molto attuale e che offre indicazioni molto precise sulle modalità di sfruttamento delle vulnerabilità presenti nelle moderne stampanti.

Una stampante espone in rete locale diverse porte di comunicazione: è facile accorgersene effettuando una scansione con Nmap (comando nmap -A indirizzo-IP-stampante) oppure con l’app per Android chiamata Fing: in questo caso basta toccare sul nome della stampante collegata in rete locale quindi sull’icona Trova porte aperte.

Il produttore della stampante, come si legge nei bollettini di sicurezza che vengono pubblicati, spesso si trova nelle condizioni di dover risolvere vulnerabilità insite nei componenti server utilizzati dal dispositivo. Senza una patch correttiva, un aggressore può trovarsi nelle condizioni di eseguire codice arbitrario sulla stampante con la possibilità non soltanto di monitorare e trasferire su server remoti i lavori inviati in stampa ma anche di usare la stampante per avviare un attacco nei confronti degli altri dispositivi collegati in rete locale.
La correzione delle vulnerabilità via via individuate nei vari modelli di stampanti arriva attraverso la distribuzione di un firmware aggiornato.

C’è però anche il rovescio della medaglia: come abbiamo osservato in precedenza, il firmware non risolve soltanto problemi di sicurezza e di compatibilità ma è utilizzato dai produttori anche per modificare il comportamento della stampante.

Il firmware come strumento per impedire od ostacolare l’utilizzo di cartucce non originali

Negli ultimi anni i produttori di stampanti hanno sempre più spesso usato gli aggiornamenti firmware per bloccare le stampanti che usano cartucce non originali.

L’Antitrust italiana ha precisato che la procedura non è illegittima in sé ma diventa tale se il produttore non informa tempestivamente e in maniera corretta il consumatore, prima dell’acquisto della stampante, circa la necessità di usare cartucce originali.
Dopo aver sanzionato HP, AGCM (Autorità Garante della Concorrenza e del Mercato) ha prescritto ad Epson e Lexmark di informare gli utenti sulle stampanti che non accettano cartucce compatibili non originali.

Torniamo allora al quesito di partenza: il firmware va aggiornato o no?

Quando aggiornare il firmware

Prima di aggiornare il firmware bisognerebbe sempre leggere con attenzione il changelog o le note di rilascio della nuova versione del firmware distribuita dal produttore.
Se il firmware risolve problematiche di sicurezza e bug noti, in generale dovrebbe essere scaricato e installato.

Se tuttavia si utilizzassero cartucce non originali è bene esercitare un po’ più di cautela: è bene combinare le informazioni derivanti da qualche semplice ricerca in rete e quelle fornite dal produttore al momento dell’acquisto al fine di verificare che con l’installazione del nuovo firmware non venga bloccata la stampante.

Una stampante si trova abitualmente dietro il firewall e la funzionalità NAT1 (nota) del router: questo significa che di norma le porte esposte dal firmware della stampante non sono pubblicamente raggiungibili sull’indirizzo IP pubblico.
L’importante è verificare le porte aperte su router e IP pubblico evitando che alcune di esse siano direttamente raggiungibili da indirizzi IP remoti (a meno che non ve ne sia l’effettiva pressante necessità).

Se le porte di comunicazione della stampante non sono raggiungibili via Internet, che bisogno c’è di installare un aggiornamento del firmware contenente correzioni per eventuali problemi di sicurezza?

Questa è sicuramente una buona domanda. Come detto firewall e NAT sul router proteggono i singoli dispositivi connessi in rete locale, comprese le stampanti, dagli attacchi provenienti dall’esterno. Tuttavia, codice in esecuzione all’interno della LAN potrebbe aprire sull’indirizzo IP pubblico le porte della stampante sulle quali è in ascolto un componente software vulnerabile, ad esempio via UPnP (Universal Plug and Play), o sfruttare direttamente il problema di sicurezza utilizzando una catena di exploit.

Nel caso di un router di norma l’aggiornamento del firmware rilasciato dal produttore dovrebbe essere tempestivamente installato, proprio perché si ha a che fare con un dispositivo che funge da interfaccia tra la rete locale e la rete Internet, con tutto ciò che ne consegue in termini di sicurezza.

Se si decidesse di non installare un aggiornamento firmware per la stampante che risolve (anche) problemi di sicurezza, è opportuno soppesare la scelta valutandone i pro e i contro.
In un ambiente di rete controllato, in cui le probabilità che venga eseguito codice dannoso sono minime, può avere senso evitare l’installazione di un firmware aggiornato per la stampante, soprattutto se esso potrebbe avere un impatto negativo sul funzionamento del dispositivo visto ad esempio l’impiego di cartucce non originali.

È possibile eseguire il downgrade del firmware della stampante?

In generale, in caso di problemi, è possibile eseguire il downgrade del firmware della stampante ovvero tornare alla versione precedente del software che governa il funzionamento del dispositivo.
È cosa fattibile, nello specifico, se il produttore della stampante fornisce una versione precedente del firmware e se la stampante stessa supporta il downgrade.

Ovviamente il downgrade del firmware può comportare la perdita di alcune funzionalità o correzioni di bug importanti che sono presenti nelle versioni più recenti.
Inoltre, alcuni produttori possono limitare la capacità di eseguire il downgrade del firmware o potrebbero addirittura impedire tale pratica.

Prima di avviare un aggiornamento del firmware, è quindi sempre bene controllare il sito Web del produttore per verificare se la pratica del downgrade è supportata.

—–

1 Il NAT (Network Address Translation) è una funzionalità di rete che consente ai dispositivi all’interno di una rete locale di accedere a Internet utilizzando un singolo indirizzo IP pubblico. NAT nasconde gli indirizzi IP interni della rete locale che non possono essere direttamente rilevati dai dispositivi remoti.
Sebbene il NAT possa contribuire a migliorare la sicurezza della rete, a stretto rigore non può essere considerata come una funzionalità di sicurezza completa. NAT non offre alcuna protezione contro attacchi informatici come virus, malware, attacchi DDoS, attacchi di phishing e altre minacce informatiche. Inoltre, NAT non offre protezione per i dati che vengono trasmessi sulla rete locale o su Internet
.

Ti consigliamo anche

Link copiato negli appunti