Drukarka sieciowa wykorzystywana (czytana: zhakowana) do drukowania dokumentów antysemickich. Jak naprawić?

Nie jestem pewien, czy należy o to zapytać tutaj lub w witrynie security.stackexchange.com ...

W długi weekend wielkanocny w naszym małym biurze nastąpiło uszkodzenie sieci, ponieważ do drukowania niektórych bardzo obraźliwych antysemickich dokumentów użyto starej drukarki HP. To wydaje się, że stało się z kilku uniwersytetów w zachodnich kulturach na całym świecie .

W każdym razie ... Przeczytałem, że w rzeczywistości jest to dość podstawowy exploit bezpieczeństwa dla większości drukarek sieciowych. Coś wspólnego z portem TCP 9100 i dostępem do Internetu. Nie byłem w stanie znaleźć wielu informacji na temat tego, w jaki sposób, ponieważ wszyscy wydają się zbyt zaniepokojeni dlaczego.

Konfiguracja sieci jest dość prosta dla dotkniętego biura. Ma 4 komputery, 2 drukarki sieciowe, 8-portowy przełącznik i modem / router domowy z połączeniem ADSL2 + (ze statycznym internetowym adresem IP i ładną konfiguracją waniliową).
Czy przyczyną słabości modemu / routera lub drukarki?

Nigdy tak naprawdę nie uważałem drukarki za zagrożenie bezpieczeństwa, które należy skonfigurować, dlatego starając się chronić sieć tego biura, chciałbym zrozumieć, w jaki sposób drukarki zostały wykorzystane. Jak mogę zatrzymać lub zablokować exploit? A może sprawdzisz lub przetestujesz exploita (lub poprawny blok exploita) w naszych innych, znacznie większych biurach?

Ten atak miał nieproporcjonalnie duży wpływ na uniwersytety, ponieważ z powodów historycznych wiele uniwersytetów używa publicznych adresów IPv4 dla większości lub wszystkich sieci, a ze względów akademickich filtrowanie danych wejściowych (lub wyjściowych!) Jest niewielkie. W ten sposób do wielu indywidualnych urządzeń w sieci uniwersyteckiej można dotrzeć bezpośrednio z dowolnego miejsca w Internecie.

W twoim konkretnym przypadku, małym biurze z połączeniem ADSL i domowym / SOHO routerem i statycznym adresem IP, najprawdopodobniej ktoś w biurze wyraźnie przekierował port TCP 9100 z Internetu do drukarki. (Domyślnie, ponieważ NAT jest w użyciu, przychodzący ruch nie ma dokąd pójść, chyba że istnieje jakieś postanowienie, aby go gdzieś skierować.) Aby temu zaradzić, wystarczy usunąć regułę przekierowania portów.

W większych biurach z właściwą zaporą ogniową na ogół nie będziesz mieć żadnych reguł zezwalających na ten port na granicy, z wyjątkiem być może połączeń VPN, jeśli potrzebujesz ludzi, aby móc drukować przez sieć VPN.

Aby zabezpieczyć samą drukarkę / serwer wydruku, użyj wbudowanej listy dozwolonych / listy kontroli dostępu, aby określić zakres (y) adresów IP, które mogą drukować na drukarce, i odrzuć wszystkie inne adresy IP. (Powiązany dokument zawiera również inne zalecenia dotyczące zabezpieczania drukarek / serwerów wydruku, które również należy ocenić).

Aby rozszerzyć odpowiedź Michaela Hamptona. Tak, prawdopodobnie jest to reguła przekierowania portów. Ale zwykle nie jest to coś, co ktoś celowo zdemaskuje. Można go jednak dodać za pomocą urządzeń UPnP. Najprawdopodobniej po włączeniu UPnP na routerze klasy domowej.

Na uniwersytetach prawdopodobnie włamano się do drukarek z innych powodów, ponieważ routery klasy korporacyjnej zwykle nie obsługują UPnP, a gdyby to zrobiły, domyślnie byłyby wyłączone. W takich sytuacjach uniwersytety są duże i mają wiele publicznych adresów IP oraz bardzo złożone sieci, a czasem wiele działów IT z licznymi podszkolami i kampusami. I nie zapomnij o hakerów-studentach, którzy lubią się bawić.

Wróćmy jednak do mojej teorii UPnP, która może pasować do twojego przypadku.

Jest mało prawdopodobne, aby ktoś celowo otworzył port 9100 na routerze, aby umożliwić drukarce otwarcie na świat. Nie niemożliwe, ale nieco mało prawdopodobne.

Oto kilka informacji na temat bardziej prawdopodobnego winowajcy UPnP:

Naukowcy twierdzą, że wady UPnP narażają dziesiątki milionów urządzeń sieciowych na zdalne ataki

W ten sposób zhakowaliśmy tysiące kamer IP, mimo że byliśmy za routerami NAT.

Więcej tutaj: Wykorzystanie uniwersalnego protokołu Plug-n-Play, niezabezpieczone kamery bezpieczeństwa i drukarki sieciowe Artykuły te mają kilka lat, ale nadal są aktualne. UPnP jest po prostu zepsuty i raczej nie zostanie naprawiony. Wyłącz to.

Ostatnia część pierwszego akapitu drugiego artykułu tak naprawdę podsumowuje:

Wreszcie, twoja drukarka sieciowa czeka tylko na włamanie.

Na koniec postępuj zgodnie z radą Michaela Hamptona i dodaj listę kontroli dostępu, jeśli to możliwe.