8萬臺打印機IPP端口暴露
責編:gltian |2020-06-30 10:25:13多年來,安全研究人員一直警告說,每臺未、暴露在防火墻之外的在線設備和資產都是攻擊面。
黑客可以通過暴露端口部署漏洞利用以控制設備,將其作為僵尸網絡的“奴隸”,或者成為進攻大型企業網絡的墊腳石和立足點(例如俄羅斯黑客已經在頻頻使用這種技術)。
但是,避免設備端口暴露是網絡安全和IT專家的常識,但仍然有大量設備在網上處于不安全狀態。
打印機IPP端口暴露
在本月初發布的一份報告中,致力于改善全球網絡安全實踐的非營利組織Shadowserver Foundation的安全研究人員發布了大量企業打印機暴露在網上的警告。
Shadowserver的專家掃描了所有40億個可路由的IPv4地址,以查找暴露IPP端口的打印機。
IPP是“ 互聯網打印協議 ”的縮寫,顧名思義,該協議允許用戶管理與互聯網連接的打印機,并將打印作業發送到在線托管的打印機。
IPP與多個其他打印機管理協議之間的區別在于IPP是一種安全協議,它支持高級功能,例如訪問控制列表,身份驗證和加密通信。
但是,這并不意味著設備所有者正在使用任何這些功能。
Shadowserver專家表示,他們在互聯網上掃描了具有IPP功能的打印機,這些打印機在沒有受到防火墻保護的情況下處于暴露狀態,并允許攻擊者通過“獲取打印機屬性”功能查詢本地詳細信息。
專家指出,每天平均大約有8萬臺打印機通過IPP端口暴露在網上。
這個數字大約是當前在線連接的所有支持IPP的打印機的八分之一。使用BinaryEdge搜索引擎進行的常規掃描顯示,每天可以通過互聯網訪問的IPP端口(TCP / 631)數量在650,000至700,000之間。
無防護IPP端口的安全問題
使IPP端口完全在線暴露而沒有任何其他保護,例如防火墻或身份驗證機制,會導致以下幾個主要安全問題:
首先,IPP端口可用于情報收集。因為大量支持IPP的打印機會返回有關其自身的其他信息,例如打印機名稱、位置、型號、固件版本、組織名稱、甚至WiFi網絡名稱。
攻擊者可以收集這些信息,然后在其中搜索他們想將其作為未來攻擊重點的企業網絡。
此外,四分之一支持IPP的打印機(約21,000臺)公開了其品牌和型號細節。Shadowserver研究人員說,公開這些信息“使攻擊者更容易定位和確定易受特定漏洞攻擊的設備群體。”
更糟糕的是,用于IPP黑客攻擊的工具很容易在線獲得。諸如PRET(打印機利用工具包)之類的工具支持IPP黑客攻擊,并且過去也曾用于劫持打印機并強迫它們打印各種宣傳消息。此外,這些工具包也可能造成更大的破壞,例如完全接管易受攻擊的設備。
免費的每日IPP暴露報告
Shadowserver Foundation表示,今后計劃在其網站上發布有關IPP暴露的每日報告。
“我們希望在新的開放IPP設備報告中共享的數據將減少互聯網上啟用IPP的暴露打印機的數量,并提高人們對IPP端口暴露威脅的認知”,該組織在本月發布的報告中說。
據悉,則訂閱開放IPP暴露情報服務(https://www.shadowserver.org/what-we-do/network-reporting/open-ipp-report/)的公司或國家CERT團隊將在設備暴露時收到自動通知。
Shadowserver Foundation因對抗和破壞僵尸網絡方面的工作而在信息安全社區中贏得了相當多的關注,該基金會表示,公司應該在確保打印機安全的同時,還應加以主動保護。
要配置IPP訪問控制和IPP身份驗證功能,建議用戶檢查其打印機手冊。大多數打印機在其管理面板中都有一個IPP配置部分,用戶可以從中啟用身份驗證,加密并通過訪問列表限制對設備的訪問。