我不确定是否应该在此处或在security.stackexchange.com上询问这...
在复活节长周末,我们的一个小办公室发生了网络漏洞,因为一台旧的惠普打印机被用来打印一些非常冒犯的反犹太主义文件。世界各地的许多西方文化大学似乎都发生过这种情况。
无论如何......我读到它实际上是大多数网络打印机的一个非常基本的安全漏洞。与 TCP 端口 9100 和访问互联网有关。我无法找到有关如何详细信息的太多信息,因为每个人似乎都太在意原因。
对于受影响的办公室,网络设置非常简单。它有 4 台 PC、2 台联网打印机、一个 8 端口交换机和一个运行 ADSL2+ 连接的住宅调制解调器/路由器(具有静态互联网 IP 和漂亮的普通配置)。
调制解调器/路由器或打印机的弱点是什么?
我从来没有真正将打印机视为需要配置的安全风险,因此为了保护这个办公室的网络,我想了解打印机是如何被利用的。如何阻止或阻止漏洞利用?并在我们其他更大的办公室检查或测试漏洞利用(或正确的漏洞利用块)?
这种攻击不成比例地影响了大学,因为由于历史原因,许多大学在其大部分或全部网络中使用公共 IPv4 地址,并且出于学术原因,很少或没有入口(或出口!)过滤。因此,可以从 Internet 上的任何地方直接访问大学网络上的许多个人设备。
在您的特定情况下,一个具有 ADSL 连接和家庭/SOHO 路由器和静态 IP 地址的小型办公室,很可能办公室中的某个人明确地将 TCP 端口 9100 从 Internet 转发到打印机。(默认情况下,由于 NAT 正在使用中,传入的流量无处可去,除非做出某些规定将其定向到某处。)要解决此问题,您只需删除端口转发规则。
在具有适当入口防火墙的大型办公室中,您通常不会在边界对此端口设置任何允许规则,如果您需要人们能够通过您的 VPN 进行打印,则可能是 VPN 连接除外。
要保护打印机/打印服务器本身,请使用其内置的允许列表/访问控制列表来指定允许打印到打印机的 IP 地址范围,并拒绝所有其他 IP 地址。(链接的文档还包含其他有关保护您的打印机/打印服务器的建议,您也应该对其进行评估。)
扩展迈克尔汉普顿的答案。是的,这可能是一个端口转发规则。但通常这不是有人会故意暴露的。但是它可以由 UPnP 设备添加。很可能是在您的住宅级路由器上启用了 UPnP。
大学的打印机可能由于其他原因被黑客入侵,因为企业级路由器通常不支持 UPnP,如果他们支持,默认情况下会被禁用。在这些情况下,大学很大,有很多公共 IP 和非常复杂的网络,有时还有多个 IT 部门和许多子学校和校园。并且不要忘记喜欢四处闲逛的学生黑客。
但是,回到我的 UPnP 理论,它可能适合您的情况。
不太可能有人会故意在您的路由器上打开端口 9100 以使您的打印机向全世界开放。不是不可能,但有点不太可能。
以下是有关更可能的罪魁祸首 UPnP 的一些信息:
研究人员称,UPnP 漏洞使数以千万计的联网设备遭受远程攻击
这就是我们如何在 NAT 路由器后面入侵数千台 IP 摄像机的原因。
更多内容:利用通用即插即用协议、不安全的安全摄像头和网络打印机 这些文章已有几年历史,但仍然具有相关性。UPnP 完全被破坏了,不太可能被修复。禁用它。
第二篇第一段的最后部分真的总结了一下:
最后,听从 Michael Hampton 的建议并尽可能添加访问控制列表。