เครื่องพิมพ์เครือข่ายใช้ประโยชน์ (อ่านแล้ว: ถูกแฮ็ก) เพื่อพิมพ์เอกสาร antisemitic จะแก้ไขอย่างไร


33

ฉันไม่แน่ใจว่าควรถามคำถามนี้ที่นี่หรือมากกว่าบนsecurity.stackexchange.com ...

ในช่วงวันหยุดยาวของเทศกาลอีสเตอร์สำนักงานขนาดเล็กของเรามีเครือข่ายที่เครื่องพิมพ์ HP เก่าถูกใช้เพื่อพิมพ์เอกสาร antisemitic ที่น่ารังเกียจ มันดูเหมือนว่าจะเกิดขึ้นกับจำนวนของมหาวิทยาลัยในวัฒนธรรมตะวันตกทั่วทุกมุมโลก

ต่อไป ... ฉันอ่านว่าจริง ๆ แล้วมันเป็นช่องโหว่ด้านความปลอดภัยขั้นพื้นฐานสำหรับเครื่องพิมพ์เครือข่ายส่วนใหญ่ สิ่งที่ต้องทำกับพอร์ต TCP 9100 และการเข้าถึงอินเทอร์เน็ต ฉันไม่สามารถค้นหาข้อมูลจำนวนมากเกี่ยวกับวิธีเฉพาะเพราะทุกคนดูเหมือนจะกังวลกับสาเหตุมากเกินไป

การตั้งค่าเครือข่ายค่อนข้างง่ายสำหรับสำนักงานที่ได้รับผลกระทบ มันมีพีซี 4 เครื่องเครื่องพิมพ์ในเครือข่าย 2 เครื่องสวิตช์ 8 พอร์ตและโมเด็ม / เราเตอร์ที่ทำงานโดยใช้การเชื่อมต่อ ADSL2 + (ด้วย IP อินเทอร์เน็ตแบบคงที่และการกำหนดค่าวานิลลาที่สวยงาม)
เป็นจุดอ่อนในโมเด็ม / เราเตอร์หรือเครื่องพิมพ์หรือไม่?

ฉันไม่เคยถือว่าเครื่องพิมพ์เป็นความเสี่ยงด้านความปลอดภัยที่ต้องกำหนดค่าดังนั้นในความพยายามที่จะปกป้องเครือข่ายของสำนักงานนี้ฉันต้องการทำความเข้าใจว่าเครื่องพิมพ์มีการใช้ประโยชน์อย่างไร ฉันจะหยุดหรือปิดกั้นการหาประโยชน์ได้อย่างไร และตรวจสอบหรือทดสอบการหาประโยชน์ (หรือแก้ไขบล็อคการหาประโยชน์) ในสำนักงานใหญ่อื่น ๆ ของเราหรือไม่?



4
"ส่งงานพิมพ์ไปยังเครื่องพิมพ์ทุกเครื่องที่มองเห็นได้ในอเมริกาเหนือ" หรือไม่ ฟังดูเหมือนเขาเกลียดต้นไม้เกือบจะเหมือนกับที่เขาเกลียดผู้คน
Peter Cordes

3
"ใช้ไฟร์วอลล์และอย่าเปิดเผยพอร์ตกับอินเทอร์เน็ตเว้นแต่คุณต้องการให้เปิด" เป็นการเริ่มต้นที่ดี
Shadur

คำตอบ:


41

การโจมตีครั้งนี้ส่งผลกระทบต่อมหาวิทยาลัยอย่างไม่เป็นสัดส่วนเพราะด้วยเหตุผลทางประวัติศาสตร์มหาวิทยาลัยหลายแห่งใช้ที่อยู่ IPv4 สาธารณะสำหรับเครือข่ายส่วนใหญ่หรือทั้งหมดของตนและด้วยเหตุผลทางวิชาการมีการกรองน้อยหรือไม่มีเลย (หรือออก! ดังนั้นอุปกรณ์แต่ละชิ้นในเครือข่ายมหาวิทยาลัยจึงสามารถเข้าถึงได้โดยตรงจากทุกที่บนอินเทอร์เน็ต

ในกรณีเฉพาะของคุณสำนักงานขนาดเล็กที่มีการเชื่อมต่อ ADSL และเราเตอร์ที่บ้าน / SOHO และที่อยู่ IP แบบคงที่มักเป็นไปได้ว่ามีใครบางคนในสำนักงานส่งต่อพอร์ต TCP 9100 จากอินเทอร์เน็ตไปยังเครื่องพิมพ์อย่างชัดเจน (โดยค่าเริ่มต้นเนื่องจากมีการใช้ NAT แล้วทราฟฟิกขาเข้าจะไม่มีที่ไหนเลยเว้นแต่มีบทบัญญัติบางประการที่จะนำมันไปยังที่อื่น) เมื่อต้องการแก้ไขสิ่งนี้คุณเพียงแค่ลบกฎการส่งต่อพอร์ต

ในสำนักงานขนาดใหญ่ที่มีการใช้ไฟร์วอลล์อย่างเหมาะสมคุณจะไม่มีกฎอนุญาตสำหรับพอร์ตนี้ที่ชายแดนยกเว้นการเชื่อมต่อ VPN หากคุณต้องการให้ผู้คนสามารถพิมพ์ผ่าน VPN ได้

เพื่อรักษาความปลอดภัยของเครื่องพิมพ์ / เซิร์ฟเวอร์ของเครื่องพิมพ์ให้ใช้ลิสต์รายการ / การควบคุมการเข้าถึงเพื่อระบุช่วงของที่อยู่ IP ที่อนุญาตให้พิมพ์ไปยังเครื่องพิมพ์และปฏิเสธที่อยู่ IP อื่นทั้งหมด (เอกสารที่เชื่อมโยงยังมีคำแนะนำอื่น ๆ สำหรับการรักษาความปลอดภัยเครื่องพิมพ์ / เซิร์ฟเวอร์การพิมพ์ของคุณซึ่งคุณควรประเมินด้วย)


16
@ReeceDodds เป็นเพียง HP PCL ซึ่งในทางปฏิบัติทุกระบบปฏิบัติการมีไดรเวอร์สำหรับการรวมไว้แล้วและมีมานานกว่าทศวรรษ
Michael Hampton

3
netcatสามารถทำงานได้
ewwhite

5
หรืออาจเปิดขึ้นบนเราเตอร์โดย UPnP สิ่งที่มักเปิดใช้งานในเราเตอร์ SOHO จำนวนมาก ตรวจสอบว่านี่ปิดในเราเตอร์ของคุณ
Matt

4
คุณพูดถูกเกี่ยวกับพอร์ตข้างหน้า งั้นเหรอ! มีคนเปิดขึ้นแล้วนำไปยังเครื่องพิมพ์ - ฉันคาดว่าอาจมีผู้ให้บริการโซลูชันการพิมพ์ที่มีการจัดการคอยติดตาม พวกเขาเพิ่งติดตั้ง FMAudit พอร์ตอื่น ๆ ส่งต่อที่มีอยู่ในเราเตอร์ถูกตั้งค่าโดยฉันไม่กี่ปีที่ผ่านมาและถูก จำกัด ไว้ที่ WAN IP ของสำนักงานที่ฉันอาศัยอยู่i.imgur.com/DmS6Eqv.pngฉันติดต่อผู้ให้บริการสำหรับ IP แบบคงที่ และจะล็อคมันลงไปที่ WAN IP เท่านั้น
Reece

6
ปรากฎว่าไม่ได้ถูกส่งต่อไปยัง FMaudit เจ้าหน้าที่คนหนึ่งมีการเข้าสู่ระบบ RDP ไปยังเซิร์ฟเวอร์ระยะไกลที่ต้องพิมพ์โดยตรงผ่านพอร์ต 9100 ฉันได้ตั้งค่า ACL ในเครื่องพิมพ์และ จำกัด WAN IP ที่สามารถใช้กฎการส่งต่อพอร์ต เขายังคงสามารถพิมพ์ได้และตอนนี้พวกเขาไม่ต้องไปล่าสัตว์เพื่อค้นหาว่าหนึ่งในสี่ของพนักงานคือ neo-nazi ซึ่งเป็นตู้เสื้อผ้า
Reece

11

เพื่อขยายคำตอบของ Michael Hampton ใช่เป็นไปได้ว่ากฎการส่งต่อพอร์ต แต่โดยปกติแล้วนั่นไม่ใช่สิ่งที่ใครบางคนจะเปิดเผยอย่างจงใจ อย่างไรก็ตามมันสามารถเพิ่มได้โดยอุปกรณ์ UPnP เป็นไปได้มากที่สุดเมื่อเปิดใช้งาน UPnP ในเราเตอร์ระดับที่พักอาศัยของคุณ

มหาวิทยาลัยอาจมีเครื่องพิมพ์ที่แฮ็กด้วยเหตุผลอื่น ๆ เนื่องจากเราเตอร์ระดับองค์กรมักจะไม่สนับสนุน UPnP และหากพวกเขาทำมันถูกปิดใช้งานโดยค่าเริ่มต้น ในสถานการณ์เหล่านั้นมหาวิทยาลัยมีขนาดใหญ่และมีเครือข่ายไอพีสาธารณะและเครือข่ายที่ซับซ้อนมากและบางครั้งก็มีแผนกไอทีหลายแผนกที่มีโรงเรียนย่อยและวิทยาเขตจำนวนมาก และอย่าลืมแฮกเกอร์นักเรียนที่ชอบแหย่

แต่กลับไปที่ทฤษฎี UPnP ของฉันซึ่งเหมาะกับกรณีของคุณ

ไม่มีใครที่จะเปิดพอร์ต 9100 บนเราเตอร์ของคุณอย่างจงใจเพื่อให้เครื่องพิมพ์ของคุณเปิดสู่โลกใบนี้ เป็นไปไม่ได้ แต่ไม่น่าจะเป็นไปได้

นี่คือข้อมูลบางอย่างเกี่ยวกับ UPnP ผู้ร้ายที่มีแนวโน้มมากขึ้น:

ข้อบกพร่องของ UPnP ทำให้อุปกรณ์เครือข่ายหลายสิบล้านเครื่องถูกโจมตีจากระยะไกล

นี่คือวิธีที่เรามีกล้อง IP หลายพันตัวที่ถูกแฮกเข้ามาแม้จะอยู่เบื้องหลังเราเตอร์ NAT

เพิ่มเติมได้ที่นี่: ใช้ประโยชน์จาก Universal Plug-n-Play โปรโตคอลกล้องรักษาความปลอดภัยที่ไม่ปลอดภัยและเครื่องพิมพ์เครือข่าย บทความเหล่านี้มีอายุไม่กี่ปี แต่ยังมีความเกี่ยวข้อง UPnP แตกหักง่ายและไม่น่าจะได้รับการแก้ไข ปิดการใช้งาน

ส่วนสุดท้ายของย่อหน้าแรกในบทความที่สองนั้นสรุป:

สุดท้ายเครื่องพิมพ์เครือข่ายของคุณกำลังรอการแฮ็ก

และสุดท้ายทำตามคำแนะนำของ Michael Hampton และเพิ่มรายการควบคุมการเข้าถึงหากเป็นไปได้


JetDirect รองรับ UPnP หรือไม่
Michael Hampton

ฉันเคยมีหนึ่งที่มี UPnP UPnP ไม่ใช่ข้อบกพร่องเพียงอย่างเดียว บ้า! irongeek.com/i.php?page=security/networkprinterhacking
Matt
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.