信息來源:Freebuf
多年以來����,每臺沒有受到防火墻保護的在線設(shè)備都是攻擊面�。
黑客可以部署漏洞以強行控制系統(tǒng),或者他們可以在不需要身份驗證的情況下簡單地連接到暴露的端口����。
以這種方式被黑客入侵的設(shè)備有時會被惡意軟件束縛在僵尸網(wǎng)絡(luò)中,或者充當大型企業(yè)網(wǎng)絡(luò)的最初立足點和后門���。
盡管這是網(wǎng)絡(luò)安全和IT專家的常識�,但我們?nèi)匀挥写罅坎话踩脑O(shè)備暴露在網(wǎng)上����。
在本月初發(fā)布的一份報告中���,致力于改善全球網(wǎng)絡(luò)安全實踐的非營利組織 ShadowserverFoundation 的安全研究人員發(fā)布了有關(guān)公司將打印機暴露在網(wǎng)上的警告。
Shadowserver 專家掃描了所有 40 億可路由的 IPv地址�,以查找暴露其 IPP 端口的打印機。
IPP代表“互聯(lián)網(wǎng)打印協(xié)議”��,顧名思義�����,該協(xié)議允許用戶管理與Internet連接的打印機���,并將打印機作業(yè)發(fā)送到在線主機打印機��。
IPP與許多其他打印機管理協(xié)議之間的區(qū)別在于IPP是一種安全協(xié)議����,它支持高級功能����,例如訪問控制列表���,身份驗證和加密通信���,然而����,這并不意味著設(shè)備所有者正在使用這些功能�。
Shadowserver專家表示,他們專門掃描了Internet上具有IPP功能的打印機���,這些打印機在沒有受到防火墻保護的情況下仍處于暴露狀態(tài)���,并允許攻擊者通過“獲取打印機屬性”功能查詢本地詳細信息。
使用搜索引擎BinaryEdge進行的正常掃描顯示����,平均每天通過IPP端口發(fā)現(xiàn)大約80,000臺打印機,而這些打印機每天都會在網(wǎng)上曝光���。
IPP端口曝光而沒有任何其他安全保護(例如防火墻或身份驗證機制)會導(dǎo)致很多問題�。
例如�����,Shadowserver的專家表示此端口可用于收集情報:因為支持IPP的打印機中有很大一部分(例如打印機名稱,位置�����,型號����,固件版本,組織名稱甚至WiFi網(wǎng)絡(luò)名稱)返回了有關(guān)其自身的其他信息�����,攻擊者可以收集此信息���,然后通過該信息檢查公司網(wǎng)絡(luò)��,以便于將來的攻擊�����。
此外����,其中支持IPP的打印機的四分之一(約21,000臺)也透露了其設(shè)計和制造的細節(jié)���,公開這些信息顯然使攻擊者更容易找到特定漏洞的設(shè)備群體���。
糟糕的是,IPP黑客工具也可以在線獲得���。 諸如PRET(打印機操作工具包)支持IPP黑客攻擊����,并且過去曾被用于劫持和強迫打印機打印各種宣傳消息����,甚至可能完全接管易受攻擊的設(shè)備。
Shadowserver 基金會表示���,計劃將來在其網(wǎng)站上發(fā)布每日IPP暴露報告����。
“我們希望在我們的新開放空間中共享IPP設(shè)備數(shù)據(jù)報告���,這將減少啟用IPP的裸露打印機的數(shù)量�,并提高人們對將這種設(shè)備暴露給未經(jīng)身份驗證的掃描儀/攻擊者的危險的認識�?!?
訂閱組織安全警報的公司或國家CERT團隊將在國家/地區(qū)的網(wǎng)絡(luò)和IP地址空間中在線公開任何IPP服務(wù)時收到自動通知�����。
Shadowserver基金會針對處理暴露于互聯(lián)網(wǎng)的設(shè)備提供的前瞻性建議與去年的學(xué)術(shù)研究結(jié)果一致���,該研究發(fā)現(xiàn)DDoS刪除通常無效��,執(zhí)法部門應(yīng)將重點放在修補系統(tǒng)上���,以限制攻擊者。
同時建議用戶閱讀打印機的手冊�,以配置IPP訪問控制和IPP身份驗證功能,在打印機尚未被利用的情況下做好保護�����,管理面板中的大多數(shù)打印機都有IPP配置部分��,用戶可以從中啟用身份驗證�����,加密并通過訪問列表限制對設(shè)備的訪問����。
