網路列印機被利用(閱讀:被黑)列印反猶太主義文件。怎麼修?
我不確定是否應該在此處或在security.stackexchange.com上詢問這…
在復活節長周末,我們的一個小辦公室發生了網路漏洞,因為一台舊的惠普列印機被用來列印一些非常冒犯的反猶太主義文件。世界各地的許多西方文化大學似乎都發生過這種情況。
無論如何……我讀到它實際上是大多數網路列印機的一個非常基本的安全漏洞。與 TCP 埠 9100 和訪問網際網路有關。我無法找到有關如何詳細資訊的太多資訊,因為每個人似乎都太在意原因。
對於受影響的辦公室,網路設置非常簡單。它有 4 台 PC、2 台聯網列印機、一個 8 埠交換機和一個執行 ADSL2+ 連接的住宅調製解調器/路由器(具有靜態網際網路 IP 和漂亮的普通配置)。
調製解調器/路由器或列印機的弱點是什麼?
我從來沒有真正將列印機視為需要配置的安全風險,因此為了保護這個辦公室的網路,我想了解列印機是如何被利用的。如何阻止或阻止漏洞利用?並在我們其他更大的辦公室檢查或測試漏洞利用(或正確的漏洞利用塊)?
這種攻擊不成比例地影響了大學,因為由於歷史原因,許多大學在其大部分或全部網路中使用公共 IPv4 地址,並且出於學術原因,很少或沒有入口(或出口!)過濾。因此,可以從 Internet 上的任何地方直接訪問大學網路上的許多個人設備。
在您的特定情況下,一個具有 ADSL 連接和家庭/SOHO 路由器和靜態 IP 地址的小型辦公室,很可能辦公室中的某個人明確地將 TCP 埠 9100 從 Internet 轉發到列印機。(預設情況下,由於 NAT 正在使用中,傳入的流量無處可去,除非做出某些規定將其定向到某處。)要解決此問題,您只需刪除埠轉發規則。
在具有適當入口防火牆的大型辦公室中,您通常不會在邊界對此埠設置任何允許規則,如果您需要人們能夠通過您的 VPN 進行列印,則可能是 VPN 連接除外。
要保護列印機/列印伺服器本身,請使用其內置的允許列表/訪問控制列表來指定允許列印到列印機的 IP 地址範圍,並拒絕所有其他 IP 地址。(連結的文件還包含其他有關保護您的列印機/列印伺服器的建議,您也應該對其進行評估。)