Antisemitik belgeler yazdırmak için ağ yazıcısından yararlanıldı (okuma: saldırıya uğradı). Nasıl düzeltilir?


33

Bunun burada mı yoksa daha sonra security.stackexchange.com'da mı sorulması gerektiğinden emin değilim ...

Paskalya uzun bir hafta sonu boyunca, küçük bir ofisimiz, çok rahatsız edici bazı antisemitik belgeler basmak için eski bir HP yazıcının kullanıldığı konusunda bir ağ ihlalinde bulundu. Tüm dünyada Batı kültürlerinde üniversiteler bir dizi ölmüş görünmesi .

Neyse ... Okuduğuma göre çoğu ağ yazıcısında oldukça basit bir güvenlik açığı. TCP 9100 bağlantı noktasıyla ve internete erişimle ilgili bir şey. Nasıl olacağı hakkında çok fazla bilgi bulamadım çünkü herkes nedenle çok ilgili görünüyor.

Ağ kurulumu, etkilenen ofis için oldukça basittir. 4 adet PC, 2 adet ağ yazıcısı, 8 portlu bir anahtar ve bir ADSL2 + bağlantısı çalıştıran konut modem / yönlendirici (statik internet IP ve oldukça vanilya konfigürasyonlu) vardır.
Modem / yönlendirici veya yazıcıdaki zayıflık noktası mı?

Bir yazıcıyı hiçbir zaman yapılandırılması gereken bir güvenlik riski olarak görmedim, bu nedenle bu ofis ağını korumak için, yazıcıların nasıl kullanıldığını anlamak isterim. İstismarı nasıl durdurabilir veya engelleyebilirim? Ve daha büyük ofislerimizdeki istismarın (veya istismarın doğru bloğunun) kontrol edilmesi veya test edilmesi?



4
"Kuzey Amerika’daki her görünür yazıcıya baskı işi gönderdi"? Neredeyse insanlardan nefret ettiği kadar ağaçlardan nefret ediyor gibi.
Peter Cordes

3
"Bir güvenlik duvarı kullanın ve açmak istemediğiniz sürece portları internete açmayın" iyi bir başlangıç ​​olur.
Shadur

Yanıtlar:


41

Bu saldırı, orantısız bir şekilde üniversiteleri etkiledi, çünkü tarihi nedenlerle, birçok üniversite, ağlarının çoğu veya tamamı için halka açık IPv4 adresleri kullanıyor ve akademik nedenlerden dolayı, filtreleme girişi çok az veya hiç yok (veya çıkış!). Böylece, bir üniversite ağındaki birçok bireysel cihaza doğrudan İnternet üzerindeki herhangi bir yerden ulaşılabilir.

Özel bir durumda, ADSL bağlantısı olan küçük bir ofis ve ev / SOHO yönlendirici ve statik IP adresi, ofiste birisinin açıkça TCP 9100 numaralı bağlantı noktasını Internet'ten yazıcıya iletmesi olasıdır. (Varsayılan olarak, NAT kullanımda olduğundan, bir yere yönlendirmek için bazı önlemler alınmadıkça, gelen trafik hiçbir yere gidemez.) Bunu düzeltmek için bağlantı noktası iletme kuralını kaldırmanız yeterlidir.

Güvenlik duvarı girişi uygun olan daha büyük ofislerde, genellikle VPN'inizin üzerinden yazdırabilmeniz gerekirse, VPN bağlantıları dışında, sınırdaki bu bağlantı noktası için izin kurallarına sahip olmayacaksınız.

Yazıcı / yazdırma sunucusunun güvenliğini sağlamak için, yazıcıda yazdırılmasına izin verilen IP adreslerinin aralığını belirlemek için yerleşik izin listesi / erişim denetim listesini kullanın ve diğer tüm IP adreslerini reddedin. (Bağlantılı belge aynı zamanda değerlendirmeniz gereken yazıcılarınızı / baskı sunucularınızı güvenceye almak için başka öneriler de içerir.)


16
@ReeceDodds Neredeyse her işletim sisteminin zaten dahil olduğu sürücülere sahip ve on yıldan uzun bir süredir sahip olduğu sadece HP PCL.
Michael Hampton

3
netcatçalışabilir.
ewwhite ile

5
Veya yönlendirici üzerinde UPnP tarafından açılmış olabilir. Çoğu SOHO yönlendiricisinde sık sık etkinleştirilen bir şey. Bunun yönlendiricinizde kapalı olduğundan emin olun.
Matt

4
İlerleme limanında haklıydın. Çok basit, ha! Birisi onu açıp yazıcıya yönlendirmişti - belki de izleyen yönetilen bir baskı çözümü sağlayıcısı için varsaydım. Son zamanlarda FMAudit'i kurdular. İleriye yönlendirici mevcut diğer liman birkaç yıl önce benim tarafımdan kuruldu ve ben ikamet ofis WAN IP ile sınırlıdır. İ.imgur.com/DmS6Eqv.png ben statik IP için sağlayıcı bağlantıya geçtim ve sadece bu WAN IP'sine kilitleyecektir.
Reece,

6
FMaudit için iletilmediği ortaya çıktı. Personelden birinin, 9100 numaralı bağlantı noktası üzerinden doğrudan yazdırma gerektiren bir uzak sunucuya bir RDP girişi var. Hala yazdırabiliyor ve şimdi dört personelden hangisinin daha yakın bir neo-nazi olduğunu bulmak için insan avına çıkmak zorunda değiller.
Reece,

11

Michael Hampton'ın cevabını genişletmek için. Evet, muhtemelen bir bağlantı noktası ileri kuralı. Ama bu genellikle birinin kasıtlı olarak maruz kalacağı bir şey değildir. Ancak UPnP aygıtları tarafından eklenebilir. Büyük olasılıkla konut tipi yönlendiricinizde UPnP'yi etkinleştirerek.

Üniversiteler muhtemelen yazıcılarını başka nedenlerle hacklendiriyorlar çünkü kurumsal sınıf yönlendiricileri genellikle UPnP'yi desteklemiyorlar ve eğer yaparlarsa varsayılan olarak devre dışı bırakılıyorlardı. Bu durumlarda üniversiteler büyüktür ve çok sayıda kamu IP'sine ve çok karmaşık ağlara ve bazen çok sayıda alt okul ve kampüsü olan birden fazla BT departmanına sahiptir. Ve etrafa sarılmayı seven öğrenci bilgisayar korsanlarını unutma.

Ancak, davanıza uyacak olan UPnP teorime döneceğim.

Yazıcınızın dünyaya açık olmasını sağlamak için birisinin yönlendiricinizde 9100 bağlantı noktasını kasten açması pek olası değildir. İmkansız değil, ama biraz olası değil.

İşte daha olası suçlu UPnP hakkında bazı bilgiler:

Araştırmacılar, UPnP kusurlarının on milyonlarca ağ cihazını uzak saldırılara maruz bıraktığını söylüyor

NAT yönlendiricilerin arkasında olmasına rağmen, binlerce IP kamerasını hacklememizin nedeni budur.

Daha burada: istismar Evrensel Tak-n-Play protokolü, güvensiz güvenlik kameraları ve ağ yazıcıları Bu makaleler bir kaç yaşında, ama yine de alakalı. UPnP sadece düz ve kırılması muhtemel bir durumdur. Devre dışı bırak.

İkinci makalede birinci fıkranın son kısmı gerçekten özetliyor:

Son olarak, ağ yazıcınız saldırıya uğramak için bekliyor.

Son olarak, Michael Hampton'ın tavsiyesine uyun ve mümkünse bir erişim kontrol listesi ekleyin.


JetDirect, UPnP'yi bile destekliyor mu?
Michael Hampton

UPnP olan birine sahiptim. UPnP olsa tek kusur değil. Çılgın! irongeek.com/i.php?page=security/networkprinterhacking
Matt
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.