Frage Netzwerkdrucker ausgenutzt (gelesen: gehackt), um antisemitische Dokumente zu drucken. Wie repariert man?


Ich bin mir nicht sicher, ob dies hier oder später gefragt werden sollte Sicherheit.stackexchange.com...

Am Osterwochenende hatte ein kleines Büro von uns eine Netzwerkverletzung, weil ein alter HP-Drucker verwendet wurde, um sehr offensive antisemitische Dokumente zu drucken. Es scheint einer Reihe von Universitäten in westlichen Kulturen auf der ganzen Welt passiert zu sein.

Wie auch immer ... Ich habe gelesen, dass es sich bei den meisten Netzwerkdruckern um einen ziemlich einfachen Sicherheits-Exploit handelt. Etwas mit TCP-Port 9100 und Zugang zum Internet zu tun. Ich konnte nicht viele Informationen über die Besonderheiten finden, weil jeder zu sehr mit dem Warum beschäftigt ist.

Die Netzwerkeinrichtung ist für das betroffene Büro ziemlich einfach. Es verfügt über 4 PCs, 2 Netzwerkdrucker, einen 8-Port-Switch und ein Modem / Router für den Privatgebrauch mit einer ADSL2 + -Verbindung (mit statischer Internet-IP und einer hübschen Vanilla-Konfiguration).
Ist der Schwachpunkt im Modem / Router oder im Drucker?

Ich habe nie wirklich einen Drucker als ein Sicherheitsrisiko betrachtet, das konfiguriert werden muss. Um das Netzwerk dieses Büros zu schützen, würde ich gerne verstehen, wie die Drucker ausgenutzt werden. Wie kann ich den Exploit stoppen oder blockieren? Und prüfen oder testen Sie den Exploit (oder den korrekten Block des Exploits) in unseren anderen, viel größeren Büros?


33
2018-03-29 22:45


Ursprung


arstechnica.com/information-technology/2016/03/... - 84104
"Druckauftrag an jeden sichtbaren Drucker in Nordamerika gesendet"? Hört sich an, als würde er Bäume fast genauso hassen wie Menschen. - Peter Cordes
"Verwenden Sie eine Firewall und stellen Sie keine Ports ins Internet frei, es sei denn, Sie möchten sie öffnen" wäre ein guter Anfang. - Shadur


Antworten:


Diese Attacke traf die Universitäten unverhältnismäßig stark, da viele Universitäten aus historischen Gründen öffentliche IPv4-Adressen für den größten Teil oder das gesamte Netzwerk verwenden und aus akademischen Gründen nur geringe oder gar keinen Zugang (oder Ausgang) haben. So können viele einzelne Geräte in einem Universitätsnetzwerk direkt von überall im Internet erreicht werden.

In Ihrem speziellen Fall, einem kleinen Büro mit ADSL-Verbindung und Home / SOHO-Router und statischer IP-Adresse, ist es sehr wahrscheinlich, dass jemand im Büro den TCP-Port 9100 explizit vom Internet zum Drucker weitergeleitet hat. (Da NAT standardmäßig verwendet wird, kann der eingehende Datenverkehr nicht weitergeleitet werden, es sei denn, es wurde eine Vorkehrung getroffen, um den Datenverkehr zu steuern.) Um dies zu beheben, entfernen Sie einfach die Portweiterleitungsregel.

In größeren Büros mit ordnungsgemäßer Zugangs-Firewall haben Sie normalerweise keine Zulassungsregeln für diesen Port an der Grenze, außer vielleicht für VPN-Verbindungen, wenn Sie Personen benötigen, die in der Lage sind, über Ihr VPN zu drucken.

Verwenden Sie den eingebauten Drucker, um den Drucker / Druckserver selbst zu sichern Liste zulassen / Zugriffskontrollliste um die Bereiche der IP-Adressen anzugeben, die auf dem Drucker gedruckt werden dürfen, und alle anderen IP-Adressen ablehnen. (Das verlinkte Dokument enthält auch weitere Empfehlungen zur Absicherung Ihrer Drucker / Druckserver, die Sie ebenfalls auswerten sollten.)


41
2018-03-29 23:00



@ReeceDodds Es ist nur HP PCL, die praktisch jedes Betriebssystem hat Treiber für bereits enthalten, und das seit mehr als einem Jahrzehnt. - Michael Hampton♦
netcat kann arbeiten. - ewwhite
Oder es wurde durch UPnP auf dem Router geöffnet. Etwas, das oft in vielen SOHO-Routern aktiviert ist. Stellen Sie sicher, dass dies auf Ihrem Router deaktiviert ist. - Matt
Du hattest recht mit dem Port nach vorne. So einfach, eh! Jemand hatte es geöffnet und zum Drucker geleitet - ich würde vielleicht annehmen, dass es für eine Lösung mit einer Managed Print Solution Provider-Lösung war. Sie haben kürzlich FMAudit installiert. Die anderen im Router vorhandenen Port-Forwards wurden vor einigen Jahren von mir eingerichtet und beschränken sich auf die WAN-IP des Büros, in dem ich mich befinde. i.imgur.com/DmS6Eqv.png Ich habe den Provider für eine statische IP kontaktiert und wird es nur auf diese WAN-IP sperren. - Reece Dodds
Es stellte sich heraus, dass es nicht für FMaudit weitergeleitet wurde. Einer der Mitarbeiter hat eine RDP-Anmeldung bei einem Remote-Server, der direkt über Port 9100 drucken musste. Ich habe eine ACL im Drucker eingerichtet und die WAN-IPs eingeschränkt, die die Port-Forward-Regel verwenden können. Er kann immer noch drucken, und jetzt müssen sie nicht mehr auf die Jagd gehen, um herauszufinden, welcher der vier Mitarbeiter ein Neonazi war. - Reece Dodds


Um Michael Hamptons Antwort zu erweitern. Ja, es ist wahrscheinlich eine Port-Forward-Regel. Aber das ist normalerweise nicht etwas, was jemand bewusst ausstellt. Es kann jedoch von UPnP-Geräten hinzugefügt werden. Am wahrscheinlichsten, wenn UPnP auf Ihrem Router für Privathaushalte aktiviert ist.

Universitäten haben wahrscheinlich ihre Drucker aus anderen Gründen gehackt, da Corporate-Grade-Router UPnP normalerweise nicht unterstützen und wenn dies der Fall wäre, wäre sie standardmäßig deaktiviert. In diesen Situationen sind Universitäten groß und haben viele öffentliche IPs und sehr komplexe Netzwerke und manchmal mehrere IT-Abteilungen mit zahlreichen Unterschulen und Campus. Und vergiss nicht die Studenten-Hacker, die gerne herumstochern.

Aber zurück zu meiner UPnP-Theorie, die zu deinem Fall passen könnte.

Es ist unwahrscheinlich, dass jemand absichtlich Port 9100 auf Ihrem Router öffnet, um Ihren Drucker für die Welt öffnen zu können. Nicht unmöglich, aber etwas unwahrscheinlich.

Hier sind einige Informationen über den wahrscheinlichsten Schuldigen UPnP:

UPnP-Schwachstellen setzen zig Millionen vernetzter Geräte für Angriffe aus der Ferne frei, sagen Forscher

So hatten wir tausende von IP-Kameras gehackt, obwohl sie sich hinter NAT-Routern befanden.

Mehr hier: Nutzung des universellen Plug-n-Play-Protokolls, unsicherer Sicherheitskameras und Netzwerkdrucker Diese Artikel sind ein paar Jahre alt, sind aber immer noch relevant. UPnP ist einfach kaputt und wird wahrscheinlich nicht repariert. Deaktivieren Sie es.

Der letzte Teil des ersten Absatzes im zweiten Artikel fasst es zusammen:

Schließlich wartet Ihr Netzwerkdrucker nur darauf, gehackt zu werden.

Und schließlich, folgen Sie Michael Hamptons Ratschlag und fügen Sie, wenn möglich, eine Zugriffskontrollliste hinzu.


11
2018-03-30 00:03



Unterstützt der JetDirect sogar UPnP? - Michael Hampton♦
Ich hatte früher einen mit UPnP. UPnP ist jedoch nicht der einzige Fehler. Verrückt! irongeek.com/i.php?page=security/networkprinterhacking - Matt