Я не уверен, следует ли спрашивать об этом здесь или снова security.stackexchange.com...
Во время долгих пасхальных выходных в нашем небольшом офисе произошел сбой в сети: старый принтер HP использовался для печати некоторых очень оскорбительных антисемитских документов. Это похоже, случилось с рядом университетов западных культур по всему миру.
В любом случае ... Я читал, что на самом деле это довольно простая уязвимость безопасности для большинства сетевых принтеров. Что-то связанное с TCP-портом 9100 и доступом в Интернет. Мне не удалось найти много информации о том, как это сделать, потому что все, кажется, слишком озабочены тем, почему.
Настройка сети довольно проста для пострадавшего офиса. Он имеет 4 ПК, 2 сетевых принтера, 8-портовый коммутатор и домашний модем / маршрутизатор с подключением ADSL2 + (со статическим IP-адресом в Интернете и довольно простой конфигурацией).
Дело в модеме / роутере или принтере?
Я никогда не считал принтер угрозой безопасности, которую необходимо настраивать, поэтому, пытаясь защитить сеть этого офиса, я хотел бы понять, как эти принтеры использовались. Как я могу остановить или заблокировать эксплойт? И проверить или протестировать эксплойт (или правильный блок эксплойта) в других наших гораздо более крупных офисах?
Эта атака непропорционально сильно затронула университеты, потому что по историческим причинам многие университеты используют общедоступные IPv4-адреса для большей части или всей своей сети, а по академическим причинам не имеют никакой входящей (или исходящей!) Фильтрации. Таким образом, многие отдельные устройства в университетской сети могут быть доступны напрямую из любого места в Интернете.
В вашем конкретном случае, небольшом офисе с ADSL-соединением и домашним / SOHO-маршрутизатором и статическим IP-адресом, наиболее вероятно, что кто-то в офисе явно перенаправил TCP-порт 9100 из Интернета на принтер. (По умолчанию, поскольку используется NAT, входящему трафику некуда деваться, если не предусмотрено какое-либо положение, чтобы направить его куда-то.) Чтобы исправить это, вы просто удалите правило переадресации портов.
В более крупных офисах с надлежащим межсетевым экраном на входе у вас обычно не будет никаких разрешающих правил для этого порта на границе, за исключением, возможно, VPN-подключений, если вам нужно, чтобы люди могли печатать через вашу VPN.
Чтобы защитить сам принтер / сервер печати, используйте его встроенный список разрешений / список контроля доступа для указания диапазона (ов) IP-адресов, разрешенных для печати на принтере, и запрета всех остальных IP-адресов. (Связанный документ также содержит другие рекомендации по обеспечению безопасности ваших принтеров / серверов печати, которые вам также следует оценить.)
Чтобы продолжить ответ Майкла Хэмптона. Да, скорее всего, это правило переадресации портов. Но обычно это не то, что кто-то намеренно разоблачает. Однако он может быть добавлен устройствами UPnP. Скорее всего, если на вашем домашнем маршрутизаторе включен UPnP.
Университеты, вероятно, взломали свои принтеры по другим причинам, поскольку маршрутизаторы корпоративного уровня обычно не поддерживают UPnP, и если бы они это сделали, он был бы отключен по умолчанию. В таких ситуациях университеты являются большими и имеют множество общедоступных IP-адресов и очень сложные сети, а иногда и несколько ИТ-отделов с многочисленными подшколами и кампусами. И не забывайте о студентах-хакерах, которые любят ковыряться.
Но вернемся к моей теории UPnP, которая может соответствовать вашему случаю.
Маловероятно, что кто-то намеренно откроет порт 9100 на вашем маршрутизаторе, чтобы ваш принтер был открыт для всего мира. Не невозможно, но несколько маловероятно.
Вот некоторая информация о более вероятном виновнике UPnP:
Так у нас были взломаны тысячи IP-камер, несмотря на то, что они были за маршрутизаторами NAT.
Подробнее здесь: Использование универсального протокола Plug-n-Play, небезопасных камер видеонаблюдения и сетевых принтеров Этим статьям несколько лет, но они все еще актуальны. UPnP просто сломан и вряд ли будет исправлен. Отключите это.
Последняя часть первого абзаца второй статьи действительно подводит итог:
Наконец, ваш сетевой принтер просто ждет взлома.
И, наконец, следуйте совету Майкла Хэмптона и, если возможно, добавьте список контроля доступа.