Máy in mạng được khai thác (đọc: hack) để in các tài liệu chống độc quyền. Làm thế nào để khắc phục?

Tôi không chắc chắn nếu điều này nên được hỏi ở đây hoặc hơn về bảo mật.stackexchange.com ...

Cuối tuần lễ Phục sinh, một văn phòng nhỏ của chúng tôi đã vi phạm mạng trong đó một máy in HP cũ đã được sử dụng để in một số tài liệu chống đối cực kỳ xúc phạm. Nó dường như đã xảy ra với một số trường đại học trong các nền văn hóa phương Tây trên toàn thế giới .

Dù sao ... tôi đọc rằng nó thực sự là một khai thác bảo mật khá cơ bản với hầu hết các máy in được nối mạng. Một cái gì đó để làm với cổng TCP 9100 và truy cập internet. Tôi đã không thể tìm thấy nhiều thông tin về các chi tiết cụ thể như thế nào vì mọi người dường như quá quan tâm đến lý do tại sao.

Thiết lập mạng khá đơn giản cho văn phòng bị ảnh hưởng. Nó có 4 PC, 2 máy in nối mạng, bộ chuyển mạch 8 cổng và modem / bộ định tuyến dân dụng chạy kết nối ADSL2 + (với IP internet tĩnh và cấu hình vanilla khá đẹp).
Là điểm yếu trong modem / bộ định tuyến hoặc máy in?

Tôi chưa bao giờ thực sự coi máy in là một rủi ro bảo mật cần được cấu hình, vì vậy trong nỗ lực bảo vệ mạng của văn phòng này, tôi muốn hiểu cách máy in được khai thác. Làm thế nào tôi có thể dừng hoặc chặn khai thác? Và kiểm tra hoặc kiểm tra khai thác (hoặc khối chính xác của khai thác) trong các văn phòng lớn hơn nhiều của chúng tôi?

Cuộc tấn công này đã ảnh hưởng không tương xứng đến các trường đại học bởi vì, vì lý do lịch sử, nhiều trường đại học sử dụng địa chỉ IPv4 công khai cho hầu hết hoặc tất cả các mạng của họ và vì lý do học thuật có rất ít hoặc không có sự xâm nhập (hoặc đi ra!). Do đó, nhiều thiết bị riêng lẻ trên mạng đại học có thể được truy cập trực tiếp từ mọi nơi trên Internet.

Trong trường hợp cụ thể của bạn, một văn phòng nhỏ có kết nối ADSL và bộ định tuyến home / SOHO và địa chỉ IP tĩnh, rất có thể ai đó tại văn phòng đã chuyển tiếp rõ ràng cổng TCP 9100 từ Internet đến máy in. (Theo mặc định, vì NAT đang được sử dụng, lưu lượng đến không có nơi nào để đi trừ khi một số điều khoản được thực hiện để hướng nó đến một nơi nào đó.) Để khắc phục điều này, bạn chỉ cần xóa quy tắc chuyển tiếp cổng.

Trong các văn phòng lớn hơn có tường lửa xâm nhập phù hợp, bạn thường sẽ không có bất kỳ quy tắc cho phép nào đối với cổng này ở biên giới, ngoại trừ các kết nối VPN nếu bạn cần mọi người có thể in qua VPN của mình.

Để bảo mật máy in / máy chủ in, hãy sử dụng danh sách kiểm soát truy cập / danh sách điều khiển tích hợp sẵn để chỉ định phạm vi địa chỉ IP được phép in cho máy in và từ chối tất cả các địa chỉ IP khác. (Tài liệu được liên kết cũng chứa các đề xuất khác để bảo mật máy in / máy chủ in của bạn, bạn cũng nên đánh giá.)

Để mở rộng câu trả lời của Michael Hampton. Có, đó có thể là một quy tắc chuyển tiếp cổng. Nhưng thường thì đó không phải là thứ mà ai đó cố tình phơi bày. Tuy nhiên, nó có thể được thêm bởi các thiết bị UPnP. Rất có thể bằng cách bật UPnP trên bộ định tuyến cấp dân cư của bạn.

Các trường đại học có thể đã bị hack máy in của họ vì các lý do khác vì các bộ định tuyến cấp công ty thường không hỗ trợ UPnP và nếu họ làm điều đó sẽ bị tắt theo mặc định. Trong những tình huống đó, các trường đại học rất lớn và có rất nhiều mạng lưới công cộng và IP rất phức tạp và đôi khi có nhiều phòng CNTT với nhiều trường con và cơ sở. Và đừng quên các hacker sinh viên thích chọc ngoáy.

Nhưng, trở lại với lý thuyết UPnP của tôi có thể phù hợp với trường hợp của bạn.

Không chắc ai đó sẽ cố tình mở cổng 9100 trên bộ định tuyến của bạn để cho phép máy in của bạn mở ra thế giới. Không phải là không thể, nhưng hơi khó xảy ra.

Dưới đây là một số thông tin về thủ phạm nhiều khả năng UPnP:

Các lỗ hổng UPnP làm lộ hàng chục triệu thiết bị được nối mạng trước các cuộc tấn công từ xa, các nhà nghiên cứu cho biết

Đây là cách chúng tôi có hàng ngàn camera IP bị tấn công mặc dù đứng sau các bộ định tuyến NAT.

Xem thêm tại đây: Khai thác giao thức Universal Plug-n-Play, camera an ninh và máy in mạng không an toàn Những bài viết này đã có vài năm nhưng vẫn còn có liên quan. UPnP chỉ bị hỏng đơn giản và không có khả năng được sửa chữa. Vô hiệu hóa nó.

Phần cuối của đoạn đầu tiên trong bài viết thứ hai thực sự tóm tắt:

Cuối cùng, máy in mạng của bạn chỉ chờ để được hack.

Và cuối cùng, hãy làm theo lời khuyên của Michael Hampton và thêm danh sách kiểm soát truy cập nếu có thể.