Printer jaringan dieksploitasi (baca: diretas) untuk mencetak dokumen antisemit. Bagaimana cara memperbaiki?


33

Saya tidak yakin apakah ini harus ditanyakan di sini atau di security.stackexchange.com ...

Selama akhir pekan panjang Paskah, kantor kecil kami mengalami pelanggaran jaringan karena printer HP lama digunakan untuk mencetak beberapa dokumen antisemit yang sangat ofensif. Ini tampaknya telah terjadi pada sejumlah universitas di budaya Barat di seluruh dunia .

Ngomong-ngomong ... Saya membaca bahwa ini sebenarnya eksploit keamanan yang cukup mendasar dengan sebagian besar printer jaringan. Ada hubungannya dengan port TCP 9100 dan akses ke internet. Saya belum dapat menemukan banyak info tentang spesifikasinya karena semua orang tampaknya terlalu peduli dengan alasannya.

Pengaturan jaringan cukup sederhana untuk kantor yang terpengaruh. Ini memiliki 4 PC, 2 printer jaringan, switch 8-port dan modem / router perumahan yang menjalankan koneksi ADSL2 + (dengan IP internet statis dan konfigurasi vanilla yang cantik).
Apakah titik kelemahan pada modem / router atau printer?

Saya tidak pernah benar-benar menganggap printer sebagai risiko keamanan yang perlu dikonfigurasi, jadi dalam upaya melindungi jaringan kantor ini, saya ingin memahami bagaimana printer dieksploitasi. Bagaimana saya bisa menghentikan atau memblokir eksploit? Dan periksa atau uji untuk exploit (atau blok yang benar dari exploit) di kantor kami yang jauh lebih besar?



4
"mengirim pekerjaan cetak ke setiap printer yang terlihat di Amerika Utara"? Kedengarannya dia membenci pohon hampir seperti dia membenci orang.
Peter Cordes

3
"Gunakan firewall dan jangan memaparkan port ke internet kecuali Anda INGIN mereka membuka" akan menjadi awal yang baik.
Shadur

Jawaban:


41

Serangan ini mempengaruhi universitas secara tidak proporsional karena, karena alasan historis, banyak universitas menggunakan alamat IPv4 publik untuk sebagian besar atau semua jaringan mereka, dan untuk alasan akademis memiliki sedikit atau tidak ada penyaringan masuk (atau keluar!). Dengan demikian, banyak perangkat individu di jaringan universitas dapat dihubungi langsung dari mana saja di Internet.

Dalam kasus spesifik Anda, kantor kecil dengan koneksi ADSL dan router rumah / SOHO dan alamat IP statis, kemungkinan besar seseorang di kantor secara eksplisit meneruskan port TCP 9100 dari Internet ke printer. (Secara default, karena NAT sedang digunakan, lalu lintas masuk tidak memiliki tempat lain kecuali beberapa ketentuan dibuat untuk mengarahkannya ke suatu tempat.) Untuk mengatasinya, Anda cukup menghapus aturan port forwarding.

Di kantor yang lebih besar dengan firewall masuk yang tepat, Anda biasanya tidak akan memiliki aturan izin untuk port ini di perbatasan, kecuali mungkin untuk koneksi VPN jika Anda membutuhkan orang-orang untuk dapat mencetak melalui VPN Anda.

Untuk mengamankan printer / server cetak itu sendiri, gunakan daftar izin yang diizinkan / daftar kontrol akses untuk menentukan kisaran alamat IP yang diizinkan untuk mencetak ke printer, dan tolak semua alamat IP lainnya. (Dokumen yang ditautkan juga berisi rekomendasi lain untuk mengamankan printer / server cetak Anda, yang juga harus Anda evaluasi.)


16
@ReeceDodds Ini hanya HP PCL, yang secara praktis setiap sistem operasi sudah termasuk driver, dan sudah lebih dari satu dekade.
Michael Hampton

3
netcatbisa bekerja.
ewwhite

5
Atau mungkin dibuka di router oleh UPnP. Sesuatu yang sering diaktifkan di banyak router SOHO. Periksa apakah ini dimatikan pada router Anda.
Matt

4
Anda benar tentang port forward. Sangat sederhana, eh! Seseorang telah membukanya dan diarahkan ke printer - saya berasumsi untuk pemantauan penyedia solusi cetak yang dikelola mungkin. Mereka baru saja menginstal FMAudit. Port lain ke depan yang ada di router dibuat oleh saya beberapa tahun yang lalu dan terbatas pada IP WAN dari kantor tempat saya tinggal. I.imgur.com/DmS6Eqv.png Saya sudah menghubungi penyedia IP statis. dan akan menguncinya hanya untuk IP WAN itu.
Reece

6
Ternyata itu tidak diteruskan untuk FMaudit. Salah satu staf memiliki login RDP ke server jauh yang memerlukan cetak langsung melalui port 9100. Saya telah menyiapkan ACL di printer dan membatasi IP WAN yang dapat menggunakan aturan port forward. Dia masih bisa mencetak dan sekarang mereka tidak perlu lagi berburu orang untuk mencari tahu mana di antara empat staf itu yang merupakan lemari neo-nazi.
Reece

11

Untuk memperluas jawaban Michael Hampton. Ya, kemungkinan aturan port forward. Tapi biasanya itu bukan sesuatu yang seseorang akan ungkapkan dengan sengaja. Namun itu dapat ditambahkan oleh perangkat UPnP. Kemungkinan besar dengan mengaktifkan UPnP pada router kelas perumahan Anda.

Universitas mungkin memiliki printer mereka diretas karena alasan lain karena router tingkat perusahaan biasanya tidak mendukung UPnP dan jika mereka melakukannya maka akan dinonaktifkan secara default. Dalam situasi-situasi itu universitas-universitas besar dan memiliki banyak IP publik dan jaringan yang sangat kompleks dan kadang-kadang banyak departemen TI dengan berbagai sub-sekolah dan kampus. Dan jangan lupa para peretas mahasiswa yang suka mengintai.

Tapi, kembali ke teori UPnP saya yang cocok dengan kasus Anda.

Tidak mungkin seseorang dengan sengaja membuka port 9100 pada router Anda untuk memungkinkan printer Anda terbuka bagi dunia. Bukan tidak mungkin, tetapi agak tidak mungkin.

Berikut adalah beberapa info tentang UPnP pelakunya yang lebih mungkin:

Cacat UPnP membuat puluhan juta perangkat jaringan terkena serangan jarak jauh, kata para peneliti

Ini adalah bagaimana kami telah meretas ribuan kamera IP meskipun berada di belakang router NAT.

Lebih lanjut di sini: Memanfaatkan protokol Universal Plug-n-Play, kamera keamanan tidak aman & printer jaringan Artikel ini sudah berumur beberapa tahun, tetapi masih relevan. UPnP benar-benar rusak dan tidak mungkin diperbaiki. Nonaktifkan itu.

Bagian terakhir dari paragraf pertama dalam artikel kedua benar-benar merangkumnya:

Terakhir, printer jaringan Anda hanya menunggu untuk diretas.

Dan terakhir, ikuti saran Michael Hampton dan tambahkan daftar kontrol akses jika memungkinkan.


Apakah JetDirect bahkan mendukung UPnP?
Michael Hampton

Saya dulu punya satu yang memiliki UPnP. UPnP bukan satu-satunya kelemahan. Gila! irongeek.com/i.php?page=security/networkprinterhacking
Matt
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.