Não tenho certeza se isso deve ser perguntado aqui ou em security.stackexchange.com ...
Durante o longo fim de semana da Páscoa, um pequeno escritório nosso teve uma violação de rede em que uma impressora HP antiga foi usada para imprimir alguns documentos anti-semitas muito ofensivos. Parece ter acontecido com várias universidades em culturas ocidentais em todo o mundo .
De qualquer forma... Eu li que na verdade é uma falha de segurança bastante básica com a maioria das impressoras em rede. Algo a ver com a porta TCP 9100 e acesso à internet. Não consegui encontrar muitas informações sobre os detalhes de como, porque todos parecem muito preocupados com o porquê.
A configuração da rede é bastante simples para o escritório afetado. Possui 4 PCs, 2 impressoras em rede, um switch de 8 portas e um modem/roteador residencial rodando uma conexão ADSL2+ (com IP estático de internet e uma configuração bastante simples).
O ponto fraco está no modem/roteador ou na impressora?
Nunca considerei uma impressora como um risco de segurança que precisa ser configurado, portanto, em um esforço para proteger a rede deste escritório, gostaria de entender como as impressoras foram exploradas. Como posso parar ou bloquear o exploit? E verificar ou testar o exploit (ou bloquear o exploit corretamente) em nossos outros escritórios muito maiores?
Este ataque afetou desproporcionalmente as universidades porque, por razões históricas, muitas universidades usam endereços IPv4 públicos para a maior parte ou toda a sua rede e, por razões acadêmicas, têm pouca ou nenhuma filtragem de entrada (ou saída!). Assim, muitos dispositivos individuais em uma rede universitária podem ser acessados diretamente de qualquer lugar na Internet.
No seu caso específico, um pequeno escritório com uma conexão ADSL e roteador doméstico/SOHO e endereço IP estático, é mais provável que alguém no escritório tenha encaminhado explicitamente a porta TCP 9100 da Internet para a impressora. (Por padrão, como o NAT está em uso, o tráfego de entrada não tem para onde ir, a menos que alguma provisão seja feita para direcioná-lo para algum lugar.) Para remediar isso, basta remover a regra de encaminhamento de porta.
Em escritórios maiores com firewall de entrada adequado, você geralmente não terá nenhuma regra de permissão para esta porta na fronteira, exceto talvez para conexões VPN se você precisar que as pessoas possam imprimir em sua VPN.
Para proteger a própria impressora/servidor de impressão, use sua lista de permissões/lista de controle de acesso incorporada para especificar o(s) intervalo(s) de endereços IP permitidos para impressão na impressora e negue todos os outros endereços IP. (O documento vinculado também contém outras recomendações para proteger suas impressoras/servidores de impressão, que você também deve avaliar.)
Para estender a resposta de Michael Hampton. Sim, é provável que seja uma regra de encaminhamento de porta. Mas geralmente isso não é algo que alguém exporia deliberadamente. No entanto, pode ser adicionado por dispositivos UPnP. Provavelmente por ter o UPnP ativado em seu roteador residencial.
As universidades provavelmente têm suas impressoras invadidas por outros motivos, pois os roteadores de nível corporativo geralmente não suportam UPnP e, se o fizessem, seriam desativados por padrão. Nessas situações, as universidades são grandes e têm muitos IPs públicos e redes muito complexas e, às vezes, vários departamentos de TI com inúmeras sub-escolas e campi. E não se esqueça dos alunos hackers que gostam de bisbilhotar.
Mas, voltando à minha teoria UPnP, que pode se adequar ao seu caso.
É improvável que alguém abra deliberadamente a porta 9100 em seu roteador para permitir que sua impressora seja aberta ao mundo. Não é impossível, mas um tanto improvável.
Aqui estão algumas informações sobre o UPnP culpado mais provável:
Falhas UPnP expõem dezenas de milhões de dispositivos em rede a ataques remotos, dizem pesquisadores
Foi assim que invadimos milhares de câmeras IP, apesar de estarem atrás de roteadores NAT.
Mais aqui: Explorando o protocolo Universal Plug-n-Play, câmeras de segurança inseguras e impressoras de rede Esses artigos já existem há alguns anos, mas ainda são relevantes. O UPnP está simplesmente quebrado e é improvável que seja consertado. Desative-o.
A última parte do primeiro parágrafo do segundo artigo realmente resume tudo:
E por último, siga o conselho de Michael Hampton e adicione uma lista de controle de acesso, se possível.