Máy in mạng được khai thác (đọc: hack) để in các tài liệu chống độc quyền. Làm thế nào để khắc phục?


33

Tôi không chắc chắn nếu điều này nên được hỏi ở đây hoặc hơn về bảo mật.stackexchange.com ...

Cuối tuần lễ Phục sinh, một văn phòng nhỏ của chúng tôi đã vi phạm mạng trong đó một máy in HP cũ đã được sử dụng để in một số tài liệu chống đối cực kỳ xúc phạm. Nó dường như đã xảy ra với một số trường đại học trong các nền văn hóa phương Tây trên toàn thế giới .

Dù sao ... tôi đọc rằng nó thực sự là một khai thác bảo mật khá cơ bản với hầu hết các máy in được nối mạng. Một cái gì đó để làm với cổng TCP 9100 và truy cập internet. Tôi đã không thể tìm thấy nhiều thông tin về các chi tiết cụ thể như thế nào vì mọi người dường như quá quan tâm đến lý do tại sao.

Thiết lập mạng khá đơn giản cho văn phòng bị ảnh hưởng. Nó có 4 PC, 2 máy in nối mạng, bộ chuyển mạch 8 cổng và modem / bộ định tuyến dân dụng chạy kết nối ADSL2 + (với IP internet tĩnh và cấu hình vanilla khá đẹp).
Là điểm yếu trong modem / bộ định tuyến hoặc máy in?

Tôi chưa bao giờ thực sự coi máy in là một rủi ro bảo mật cần được cấu hình, vì vậy trong nỗ lực bảo vệ mạng của văn phòng này, tôi muốn hiểu cách máy in được khai thác. Làm thế nào tôi có thể dừng hoặc chặn khai thác? Và kiểm tra hoặc kiểm tra khai thác (hoặc khối chính xác của khai thác) trong các văn phòng lớn hơn nhiều của chúng tôi?



4
"Đã gửi công việc in tới mọi máy in có thể nhìn thấy ở Bắc Mỹ"? Âm thanh như anh ta ghét cây cũng nhiều như anh ta ghét mọi người.
Peter Cordes

3
"Sử dụng tường lửa và không để các cổng ra internet trừ khi bạn muốn chúng mở" sẽ là một khởi đầu tốt.
Shadur

Câu trả lời:


41

Cuộc tấn công này đã ảnh hưởng không tương xứng đến các trường đại học bởi vì, vì lý do lịch sử, nhiều trường đại học sử dụng địa chỉ IPv4 công khai cho hầu hết hoặc tất cả các mạng của họ và vì lý do học thuật có rất ít hoặc không có sự xâm nhập (hoặc đi ra!). Do đó, nhiều thiết bị riêng lẻ trên mạng đại học có thể được truy cập trực tiếp từ mọi nơi trên Internet.

Trong trường hợp cụ thể của bạn, một văn phòng nhỏ có kết nối ADSL và bộ định tuyến home / SOHO và địa chỉ IP tĩnh, rất có thể ai đó tại văn phòng đã chuyển tiếp rõ ràng cổng TCP 9100 từ Internet đến máy in. (Theo mặc định, vì NAT đang được sử dụng, lưu lượng đến không có nơi nào để đi trừ khi một số điều khoản được thực hiện để hướng nó đến một nơi nào đó.) Để khắc phục điều này, bạn chỉ cần xóa quy tắc chuyển tiếp cổng.

Trong các văn phòng lớn hơn có tường lửa xâm nhập phù hợp, bạn thường sẽ không có bất kỳ quy tắc cho phép nào đối với cổng này ở biên giới, ngoại trừ các kết nối VPN nếu bạn cần mọi người có thể in qua VPN của mình.

Để bảo mật máy in / máy chủ in, hãy sử dụng danh sách kiểm soát truy cập / danh sách điều khiển tích hợp sẵn để chỉ định phạm vi địa chỉ IP được phép in cho máy in và từ chối tất cả các địa chỉ IP khác. (Tài liệu được liên kết cũng chứa các đề xuất khác để bảo mật máy in / máy chủ in của bạn, bạn cũng nên đánh giá.)


16
@ReeceDodds Chỉ là HP PCL, mà thực tế mọi hệ điều hành đều có trình điều khiển đã được bao gồm và đã hơn một thập kỷ.
Michael Hampton

3
netcatcó thể làm việc.
ewwhite

5
Hoặc nó có thể đã được UPnP mở ra trên bộ định tuyến. Một cái gì đó thường được kích hoạt trong nhiều bộ định tuyến SOHO. Kiểm tra xem điều này đã được tắt trên bộ định tuyến của bạn.
Matt

4
Bạn đã đúng về cảng phía trước. Thật đơn giản nhỉ! Ai đó đã mở nó và hướng đến máy in - tôi có thể giả sử giám sát các nhà cung cấp giải pháp in được quản lý. Gần đây họ đã cài đặt FMAudit. Cổng khác được chuyển tiếp trong bộ định tuyến đã được tôi thiết lập cách đây vài năm và bị giới hạn ở IP WAN của văn phòng tôi cư trú. I.imgur.com/DmS6Eqv.png Tôi đã liên hệ với nhà cung cấp về IP tĩnh và sẽ khóa nó xuống chỉ còn IP WAN đó.
lừa

6
Hóa ra nó không được chuyển tiếp cho FMaudit. Một trong các nhân viên có thông tin đăng nhập RDP đến máy chủ từ xa yêu cầu in trực tiếp qua cổng 9100. Tôi đã thiết lập ACL trong máy in và giới hạn IP của IP có thể sử dụng quy tắc chuyển tiếp cổng. Anh ta vẫn có thể in và bây giờ họ không phải đi săn người để tìm xem một trong bốn nhân viên là một tủ quần áo tân nazi.
lừa

11

Để mở rộng câu trả lời của Michael Hampton. Có, đó có thể là một quy tắc chuyển tiếp cổng. Nhưng thường thì đó không phải là thứ mà ai đó cố tình phơi bày. Tuy nhiên, nó có thể được thêm bởi các thiết bị UPnP. Rất có thể bằng cách bật UPnP trên bộ định tuyến cấp dân cư của bạn.

Các trường đại học có thể đã bị hack máy in của họ vì các lý do khác vì các bộ định tuyến cấp công ty thường không hỗ trợ UPnP và nếu họ làm điều đó sẽ bị tắt theo mặc định. Trong những tình huống đó, các trường đại học rất lớn và có rất nhiều mạng lưới công cộng và IP rất phức tạp và đôi khi có nhiều phòng CNTT với nhiều trường con và cơ sở. Và đừng quên các hacker sinh viên thích chọc ngoáy.

Nhưng, trở lại với lý thuyết UPnP của tôi có thể phù hợp với trường hợp của bạn.

Không chắc ai đó sẽ cố tình mở cổng 9100 trên bộ định tuyến của bạn để cho phép máy in của bạn mở ra thế giới. Không phải là không thể, nhưng hơi khó xảy ra.

Dưới đây là một số thông tin về thủ phạm nhiều khả năng UPnP:

Các lỗ hổng UPnP làm lộ hàng chục triệu thiết bị được nối mạng trước các cuộc tấn công từ xa, các nhà nghiên cứu cho biết

Đây là cách chúng tôi có hàng ngàn camera IP bị tấn công mặc dù đứng sau các bộ định tuyến NAT.

Xem thêm tại đây: Khai thác giao thức Universal Plug-n-Play, camera an ninh và máy in mạng không an toàn Những bài viết này đã có vài năm nhưng vẫn còn có liên quan. UPnP chỉ bị hỏng đơn giản và không có khả năng được sửa chữa. Vô hiệu hóa nó.

Phần cuối của đoạn đầu tiên trong bài viết thứ hai thực sự tóm tắt:

Cuối cùng, máy in mạng của bạn chỉ chờ để được hack.

Và cuối cùng, hãy làm theo lời khuyên của Michael Hampton và thêm danh sách kiểm soát truy cập nếu có thể.


JetDirect thậm chí còn hỗ trợ UPnP?
Michael Hampton

Tôi đã từng có một cái có UPnP. UPnP không phải là lỗ hổng duy nhất. Khùng! irongeek.com/i.php?page=security/networkprinterhacking
Matt
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.