|
對(duì)外暴露IPP端口的打印機(jī)泄漏了設(shè)備名稱�����,位置���,型號(hào)�����,固件版本�����,組織名稱���,甚至WiFi SSID�。 
多年以來(lái)���,安全研究人員警告說(shuō)���,每臺(tái)未暴露在防火墻保護(hù)下的在線設(shè)備都是攻擊面。
黑客可以部署漏洞利用以強(qiáng)行控制設(shè)備��,或者如果不需要身份驗(yàn)證�����,他們可以僅連接到暴露的端口���。 以這種方式被黑客入侵的設(shè)備通常被惡意軟件僵尸網(wǎng)絡(luò)所奴役,或者它們成為大型企業(yè)網(wǎng)絡(luò)的最初立足點(diǎn)和后門(mén)(俄羅斯黑客已經(jīng)在使用這種技術(shù))��。 但是���,盡管這是網(wǎng)絡(luò)安全和IT專家的常識(shí)����,但我們?nèi)匀挥写罅吭O(shè)備在網(wǎng)上處于不安全狀態(tài)。 IPP暴露在本月初發(fā)布的一份報(bào)告中��,來(lái)自致力于改善全球網(wǎng)絡(luò)安全實(shí)踐的非營(yíng)利組織Shadowserver Foundation的安全研究人員發(fā)布了有關(guān)公司將打印機(jī)暴露在網(wǎng)上的警告�����。 更具體地說(shuō)����,Shadowserver專家掃描了所有40億可路由的IPv4地址,以查找暴露其IPP端口的打印機(jī)��。 IPP代表“ Internet打印協(xié)議 ”���,顧名思義����,該協(xié)議允許用戶管理與Internet連接的打印機(jī)���,并將打印作業(yè)發(fā)送到在線托管的打印機(jī)���。IPP與多個(gè)其他打印機(jī)管理協(xié)議之間的區(qū)別在于IPP是一種安全協(xié)議,它支持高級(jí)功能,例如訪問(wèn)控制列表��,身份驗(yàn)證和加密通信����。 但是,這并不意味著設(shè)備所有者正在使用這些功能中的任何一個(gè)�。 Shadowserver專家表示,他們專門(mén)在Internet上掃描了具有IPP功能的打印機(jī)����,這些打印機(jī)在沒(méi)有受到防火墻保護(hù)的情況下仍處于暴露狀態(tài),并允許攻擊者通過(guò)“獲取打印機(jī)屬性”功能查詢本地詳細(xì)信息��。 專家說(shuō)�����,總體而言�����,他們通常每天平均平均大約有80,000臺(tái)打印機(jī)通過(guò)IPP端口在網(wǎng)上曝光�����。 該數(shù)目大約是當(dāng)前在線連接的所有支持IPP的打印機(jī)的八分之一�。使用BinaryEdge搜索引擎進(jìn)行的常規(guī)掃描發(fā)現(xiàn),每天可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)的IPP端口(TCP / 631)數(shù)量在650,000至700,000之間���。 不保護(hù)IPP端口的問(wèn)題使IPP端口完全在線暴露而沒(méi)有任何其他保護(hù)����,例如防火墻或身份驗(yàn)證機(jī)制��,存在幾個(gè)主要問(wèn)題�。 首先,Shadowserver專家說(shuō)此端口可用于情報(bào)收集���。之所以可能這樣做�����,是因?yàn)榇蟛糠种С諭PP的打印機(jī)返回了有關(guān)其自身的其他信息���,例如打印機(jī)名稱,位置���,型號(hào)�,固件版本,組織名稱��,甚至WiFi網(wǎng)絡(luò)名稱�����。 攻擊者可以收集這些信息�,然后在其中搜索他們想將其作為未來(lái)攻擊重點(diǎn)的企業(yè)網(wǎng)絡(luò)。 此外��,在支持IPP的打印機(jī)總數(shù)的約四分之一(約21,000臺(tái))中也公開(kāi)了其品牌和型號(hào)細(xì)節(jié)����。Shadowserver研究人員說(shuō),公開(kāi)這些信息“顯然使攻擊者更容易定位和確定易受特定漏洞攻擊的設(shè)備群體�。” 更糟糕的是�����,用于IPP黑客攻擊的工具也可以在線獲得����。諸如PRET(打印機(jī)利用工具包)之類的工具支持IPP黑客攻擊���,并且過(guò)去也曾用于劫持打印機(jī)并強(qiáng)迫他們打印各種宣傳消息�����。但是�,同樣的工具箱也可能用得更糟,例如完全接管易受攻擊的設(shè)備����。 免費(fèi)的每日IPP暴露報(bào)告影子服務(wù)器基金會(huì)表示,今后計(jì)劃在其網(wǎng)站上發(fā)布有關(guān)IPP暴露的每日?qǐng)?bào)告���。 “我們希望在我們新的開(kāi)放IPP設(shè)備報(bào)告中共享的數(shù)據(jù)將導(dǎo)致減少Internet上啟用IPP的暴露打印機(jī)的數(shù)量�����,并提高人們意識(shí)到將此類設(shè)備暴露于未經(jīng)身份驗(yàn)證的掃描儀/攻擊者的危險(xiǎn)性”����,該組織在本月發(fā)布的報(bào)告中說(shuō)���。 如果任何IPP服務(wù)在其網(wǎng)絡(luò)和國(guó)家/地區(qū)的IP地址空間中在線公開(kāi)��,則訂閱組織安全警報(bào)的公司或國(guó)家CERT團(tuán)隊(duì)將收到自動(dòng)通知�。 但是,Shadowserver Foundation因在對(duì)抗和破壞僵尸網(wǎng)絡(luò)方面的工作而在Infosec社區(qū)中贏得了相當(dāng)多的關(guān)注���,該基金會(huì)表示�,公司應(yīng)該在確保打印機(jī)安全的同時(shí)��,還應(yīng)加以保護(hù)��。 該組織說(shuō):“很多人不太可能需要使所有人都能使用這種打印機(jī)�����?!?nbsp;“這些設(shè)備應(yīng)該經(jīng)過(guò)防火墻保護(hù)和/或啟用身份驗(yàn)證機(jī)制?��!?/p> Shadowserver Foundation關(guān)于處理暴露于互聯(lián)網(wǎng)的設(shè)備的主動(dòng)建議與去年的一項(xiàng)學(xué)術(shù)研究結(jié)果一致���,該研究發(fā)現(xiàn)DDoS刪除通常無(wú)效,執(zhí)法部門(mén)應(yīng)集中精力對(duì)系統(tǒng)進(jìn)行修補(bǔ)����,以限制攻擊媒介的攻擊。對(duì)攻擊者有用�。 要配置IPP訪問(wèn)控制和IPP身份驗(yàn)證功能,建議用戶檢查其打印機(jī)手冊(cè)��。大多數(shù)打印機(jī)在其管理面板中都有一個(gè)IPP配置部分�,用戶可以從中啟用身份驗(yàn)證,加密并通過(guò)訪問(wèn)列表限制對(duì)設(shè)備的訪問(wèn)��。 亞太的IP資源本來(lái)就稀缺����,應(yīng)該比較少可能會(huì)給打印機(jī)獨(dú)立公網(wǎng)IP。
|
