Stampante di rete sfruttata (leggi: hackerata) per stampare documenti antisemiti. Come risolvere?

33

Non sono sicuro se questo dovrebbe essere chiesto qui o sopra su security.stackexchange.com ...

Durante il lungo weekend di Pasqua, un nostro piccolo ufficio ha avuto una violazione della rete in quanto una vecchia stampante HP è stata utilizzata per stampare alcuni documenti antisemitici molto offensivi. Essa sembra essere accaduto a un certo numero di università in culture occidentali in tutto il mondo .

Comunque ... ho letto che in realtà è un exploit di sicurezza piuttosto semplice con la maggior parte delle stampanti in rete. Qualcosa a che fare con la porta TCP 9100 e l'accesso a Internet. Non sono stato in grado di trovare molte informazioni sui dettagli di come perché tutti sembrano troppo preoccupati del perché.

L'impostazione della rete è piuttosto semplice per l'ufficio interessato. Dispone di 4 PC, 2 stampanti in rete, uno switch a 8 porte e un modem / router residenziale che esegue una connessione ADSL2 + (con IP Internet statico e una configurazione piuttosto vaniglia).
Il punto di debolezza è nel modem / router o nella stampante?

Non ho mai considerato una stampante come un rischio per la sicurezza che deve essere configurato, quindi nel tentativo di proteggere la rete di questo ufficio, vorrei capire come sono state sfruttate le stampanti. Come posso interrompere o bloccare l'exploit? E controllare o testare l'exploit (o il blocco corretto dell'exploit) nei nostri altri uffici molto più grandi?

networking  security  network-printer 
Reece
fonte
6
84104
4
"ha inviato un lavoro di stampa a tutte le stampanti visibili in Nord America"? Sembra che odia gli alberi quasi quanto odia le persone.
Peter Cordes,
3
"Utilizzare un firewall e non esporre le porte a Internet se non si desidera che siano aperte" sarebbe un buon inizio.
Shadur,

Risposte:

41

Questo attacco ha influenzato in modo sproporzionato le università perché, per motivi storici, molte università usano indirizzi IPv4 pubblici per la maggior parte o tutta la loro rete e per motivi accademici hanno un filtro di ingresso (o uscita!) Scarso o nullo. Pertanto, molti singoli dispositivi su una rete universitaria possono essere raggiunti direttamente da qualsiasi luogo su Internet.

Nel tuo caso specifico, un piccolo ufficio con una connessione ADSL e un router domestico / SOHO e un indirizzo IP statico, è molto probabile che qualcuno in ufficio abbia esplicitamente inoltrato la porta TCP 9100 da Internet alla stampante. (Per impostazione predefinita, poiché NAT è in uso, il traffico in entrata non può andare da nessuna parte a meno che non sia previsto un provvedimento per dirigerlo da qualche parte.) Per rimediare a ciò, è sufficiente rimuovere la regola di port forwarding.

Negli uffici più grandi con un adeguato firewalling in ingresso, in genere non avrai regole di autorizzazione per questa porta al confine, tranne forse per le connessioni VPN se hai bisogno che le persone siano in grado di stampare sulla tua VPN.

Per proteggere la stampante / il server di stampa stesso, utilizzare l' elenco di consenti / controllo accessi incorporato per specificare l'intervallo o gli indirizzi IP autorizzati a stampare sulla stampante e negare tutti gli altri indirizzi IP. (Il documento collegato contiene anche altri consigli per la protezione di stampanti / server di stampa, che è necessario valutare anche.)

Michael Hampton
fonte
16
@ReeceDodds È solo HP PCL, che praticamente tutti i sistemi operativi dispongono di driver già inclusi e da oltre un decennio.
Michael Hampton
3
netcatpuò funzionare.
ewwhite,
5
Oppure potrebbe essere stato aperto sul router da UPnP. Qualcosa che è spesso abilitato in molti router SOHO. Controlla che sia spento sul tuo router.
Matt
4
Avevi ragione sul port forward. Così semplice eh! Qualcuno l'aveva aperto e indirizzato alla stampante, forse suppongo che un provider di soluzioni di stampa gestita possa monitorare. Di recente hanno installato FMAudit. Le altre porte forward esistenti nel router sono state configurate da me alcuni anni fa e sono limitate all'IP WAN dell'ufficio in cui risiedo. I.imgur.com/DmS6Eqv.png Ho contattato il provider per un IP statico e lo bloccherà solo a quell'IP WAN.
Reece,
6
Si scopre che non è stato inoltrato per FMaudit. Uno staff ha un accesso RDP a un server remoto che ha richiesto la stampa diretta tramite la porta 9100. Ho impostato un ACL nella stampante e ho limitato gli IP WAN che possono utilizzare la regola di port forward. Riesce ancora a stampare e ora non devono andare a caccia di uomini per scoprire quale dei quattro membri del personale era un neonazista.
Reece,
11

Per estendere la risposta di Michael Hampton. Sì, probabilmente è una regola di port forward. Ma di solito non è qualcosa che qualcuno potrebbe esporre deliberatamente. Tuttavia, può essere aggiunto dai dispositivi UPnP. Molto probabilmente avendo UPnP abilitato sul tuo router di livello residenziale.

Le università probabilmente hanno le loro stampanti hackerate per altri motivi poiché i router di livello aziendale di solito non supportano UPnP e se lo facessero sarebbero disabilitati per impostazione predefinita. In quelle situazioni le università sono grandi e hanno un sacco di IP pubblici e reti molto complesse e talvolta dipartimenti IT multipli con numerose scuole secondarie e campus. E non dimenticare gli hacker degli studenti a cui piace curiosare.

Ma, tornando alla mia teoria UPnP che potrebbe adattarsi al tuo caso.

È improbabile che qualcuno apra deliberatamente la porta 9100 sul router per consentire alla stampante di essere aperta al mondo. Non impossibile, ma alquanto improbabile.

Ecco alcune informazioni sul più probabile colpevole UPnP:

I difetti dell'UPnP espongono decine di milioni di dispositivi in ​​rete ad attacchi remoti, affermano i ricercatori

È così che sono state hackerate migliaia di telecamere IP nonostante fossero dietro router NAT.

Altre informazioni: utilizzo del protocollo Universal Plug-n-Play, telecamere di sicurezza non sicure e stampanti di rete Questi articoli hanno alcuni anni, ma sono ancora rilevanti. UPnP è semplicemente rotto e difficilmente può essere corretto. Disabilitalo.

L'ultima parte del primo paragrafo del secondo articolo lo riassume davvero:

Infine, la tua stampante di rete è in attesa di essere violata.

Infine, segui i consigli di Michael Hampton e, se possibile, aggiungi un elenco di controllo degli accessi.

opaco
fonte
JetDirect supporta anche UPnP?
Michael Hampton
Ne avevo uno che aveva UPnP. UPnP non è l'unico difetto però. Pazzo! irongeek.com/i.php?page=security/networkprinterhacking
Matt
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.