Drukarka sieciowa wykorzystywana (czytana: zhakowana) do drukowania dokumentów antysemickich. Jak naprawić?

33

Nie jestem pewien, czy należy o to zapytać tutaj lub w witrynie security.stackexchange.com ...

W długi weekend wielkanocny w naszym małym biurze nastąpiło uszkodzenie sieci, ponieważ do drukowania niektórych bardzo obraźliwych antysemickich dokumentów użyto starej drukarki HP. To wydaje się, że stało się z kilku uniwersytetów w zachodnich kulturach na całym świecie .

W każdym razie ... Przeczytałem, że w rzeczywistości jest to dość podstawowy exploit bezpieczeństwa dla większości drukarek sieciowych. Coś wspólnego z portem TCP 9100 i dostępem do Internetu. Nie byłem w stanie znaleźć wielu informacji na temat tego, w jaki sposób, ponieważ wszyscy wydają się zbyt zaniepokojeni dlaczego.

Konfiguracja sieci jest dość prosta dla dotkniętego biura. Ma 4 komputery, 2 drukarki sieciowe, 8-portowy przełącznik i modem / router domowy z połączeniem ADSL2 + (ze statycznym internetowym adresem IP i ładną konfiguracją waniliową).
Czy przyczyną słabości modemu / routera lub drukarki?

Nigdy tak naprawdę nie uważałem drukarki za zagrożenie bezpieczeństwa, które należy skonfigurować, dlatego starając się chronić sieć tego biura, chciałbym zrozumieć, w jaki sposób drukarki zostały wykorzystane. Jak mogę zatrzymać lub zablokować exploit? A może sprawdzisz lub przetestujesz exploita (lub poprawny blok exploita) w naszych innych, znacznie większych biurach?

networking  security  network-printer 
Reece
źródło
6
84104
4
„wysłał zadanie drukowania do każdej widocznej drukarki w Ameryce Północnej”? Wygląda na to, że nienawidzi drzew prawie tak samo, jak nienawidzi ludzi.
Peter Cordes
3
„Użyj zapory i nie narażaj portów na działanie Internetu, chyba że CHCESZ je otworzyć” byłoby dobrym początkiem.
Shadur

Odpowiedzi:

41

Ten atak miał nieproporcjonalnie duży wpływ na uniwersytety, ponieważ z powodów historycznych wiele uniwersytetów używa publicznych adresów IPv4 dla większości lub wszystkich sieci, a ze względów akademickich filtrowanie danych wejściowych (lub wyjściowych!) Jest niewielkie. W ten sposób do wielu indywidualnych urządzeń w sieci uniwersyteckiej można dotrzeć bezpośrednio z dowolnego miejsca w Internecie.

W twoim konkretnym przypadku, małym biurze z połączeniem ADSL i domowym / SOHO routerem i statycznym adresem IP, najprawdopodobniej ktoś w biurze wyraźnie przekierował port TCP 9100 z Internetu do drukarki. (Domyślnie, ponieważ NAT jest w użyciu, przychodzący ruch nie ma dokąd pójść, chyba że istnieje jakieś postanowienie, aby go gdzieś skierować.) Aby temu zaradzić, wystarczy usunąć regułę przekierowania portów.

W większych biurach z właściwą zaporą ogniową na ogół nie będziesz mieć żadnych reguł zezwalających na ten port na granicy, z wyjątkiem być może połączeń VPN, jeśli potrzebujesz ludzi, aby móc drukować przez sieć VPN.

Aby zabezpieczyć samą drukarkę / serwer wydruku, użyj wbudowanej listy dozwolonych / listy kontroli dostępu, aby określić zakres (y) adresów IP, które mogą drukować na drukarce, i odrzuć wszystkie inne adresy IP. (Powiązany dokument zawiera również inne zalecenia dotyczące zabezpieczania drukarek / serwerów wydruku, które również należy ocenić).

Michael Hampton
źródło
16
@ReeceDodds To tylko HP PCL, w którym praktycznie każdy system operacyjny ma już sterowniki, i to już od ponad dekady.
Michael Hampton
3
netcatmoże pracować.
ewwhite
5
Lub może być otwarty na routerze przez UPnP. Coś, co jest często włączone w wielu routerach SOHO. Sprawdź, czy jest wyłączony na routerze.
Matt
4
Miałeś rację co do portu do przodu. Tak proste eh! Ktoś go otworzył i skierował do drukarki - przypuszczam, że monitorują dostawcy zarządzanych rozwiązań drukowania. Niedawno zainstalowali FMAudit. Inne przekazywanie portów istniejące w routerze zostało skonfigurowane przeze mnie kilka lat temu i są ograniczone do adresu IP WAN biura, w którym mieszkam . I.imgur.com/DmS6Eqv.png Skontaktowałem się z dostawcą w sprawie statycznego adresu IP i zablokuje go tylko do tego adresu IP WAN.
Reece
6
Okazuje się, że nie został przekazany do FMaudit. Jeden z pracowników ma login RDP do zdalnego serwera, który wymagał bezpośredniego drukowania przez port 9100. Skonfigurowałem ACL w drukarce i ograniczyłem adresy IP WAN, które mogą korzystać z reguły przekierowania portów. Nadal może drukować, a teraz nie muszą polować na ludzi, aby dowiedzieć się, który z czterech pracowników był neonazistą w szafie.
Reece
11

Aby rozszerzyć odpowiedź Michaela Hamptona. Tak, prawdopodobnie jest to reguła przekierowania portów. Ale zwykle nie jest to coś, co ktoś celowo zdemaskuje. Można go jednak dodać za pomocą urządzeń UPnP. Najprawdopodobniej po włączeniu UPnP na routerze klasy domowej.

Na uniwersytetach prawdopodobnie włamano się do drukarek z innych powodów, ponieważ routery klasy korporacyjnej zwykle nie obsługują UPnP, a gdyby to zrobiły, domyślnie byłyby wyłączone. W takich sytuacjach uniwersytety są duże i mają wiele publicznych adresów IP oraz bardzo złożone sieci, a czasem wiele działów IT z licznymi podszkolami i kampusami. I nie zapomnij o hakerów-studentach, którzy lubią się bawić.

Wróćmy jednak do mojej teorii UPnP, która może pasować do twojego przypadku.

Jest mało prawdopodobne, aby ktoś celowo otworzył port 9100 na routerze, aby umożliwić drukarce otwarcie na świat. Nie niemożliwe, ale nieco mało prawdopodobne.

Oto kilka informacji na temat bardziej prawdopodobnego winowajcy UPnP:

Naukowcy twierdzą, że wady UPnP narażają dziesiątki milionów urządzeń sieciowych na zdalne ataki

W ten sposób zhakowaliśmy tysiące kamer IP, mimo że byliśmy za routerami NAT.

Więcej tutaj: Wykorzystanie uniwersalnego protokołu Plug-n-Play, niezabezpieczone kamery bezpieczeństwa i drukarki sieciowe Artykuły te mają kilka lat, ale nadal są aktualne. UPnP jest po prostu zepsuty i raczej nie zostanie naprawiony. Wyłącz to.

Ostatnia część pierwszego akapitu drugiego artykułu tak naprawdę podsumowuje:

Wreszcie, twoja drukarka sieciowa czeka tylko na włamanie.

Na koniec postępuj zgodnie z radą Michaela Hamptona i dodaj listę kontroli dostępu, jeśli to możliwe.

Matt
źródło
Czy JetDirect obsługuje nawet UPnP?
Michael Hampton
Kiedyś miałem taki, który miał UPnP. UPnP nie jest jednak jedyną wadą. Zwariowany! irongeek.com/i.php?page=security/networkprinterhacking
Matt
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.