|
对外暴露IPP端口的打印机泄漏了设备名称,位置,型号,固件版本,组织名称,甚至WiFi SSID。 多年以来,安全研究人员警告说,每台未暴露在防火墙保护下的在线设备都是攻击面。 黑客可以部署漏洞利用以强行控制设备,或者如果不需要身份验证,他们可以仅连接到暴露的端口。 以这种方式被黑客入侵的设备通常被恶意软件僵尸网络所奴役,或者它们成为大型企业网络的最初立足点和后门(俄罗斯黑客已经在使用这种技术)。 但是,尽管这是网络安全和IT专家的常识,但我们仍然有大量设备在网上处于不安全状态。 IPP暴露在本月初发布的一份报告中,来自致力于改善全球网络安全实践的非营利组织Shadowserver Foundation的安全研究人员发布了有关公司将打印机暴露在网上的警告。 更具体地说,Shadowserver专家扫描了所有40亿可路由的IPv4地址,以查找暴露其IPP端口的打印机。 IPP与多个其他打印机管理协议之间的区别在于IPP是一种安全协议,它支持高级功能,例如访问控制列表,身份验证和加密通信。 但是,这并不意味着设备所有者正在使用这些功能中的任何一个。 Shadowserver专家表示,他们专门在Internet上扫描了具有IPP功能的打印机,这些打印机在没有受到防火墙保护的情况下仍处于暴露状态,并允许攻击者通过“获取打印机属性”功能查询本地详细信息。 专家说,总体而言,他们通常每天平均平均大约有80,000台打印机通过IPP端口在网上曝光。 该数目大约是当前在线连接的所有支持IPP的打印机的八分之一。使用BinaryEdge搜索引擎进行的常规扫描发现,每天可以通过互联网访问的IPP端口(TCP / 631)数量在650,000至700,000之间。 不保护IPP端口的问题使IPP端口完全在线暴露而没有任何其他保护,例如防火墙或身份验证机制,存在几个主要问题。 首先,Shadowserver专家说此端口可用于情报收集。之所以可能这样做,是因为大部分支持IPP的打印机返回了有关其自身的其他信息,例如打印机名称,位置,型号,固件版本,组织名称,甚至WiFi网络名称。 攻击者可以收集这些信息,然后在其中搜索他们想将其作为未来攻击重点的企业网络。 此外,在支持IPP的打印机总数的约四分之一(约21,000台)中也公开了其品牌和型号细节。Shadowserver研究人员说,公开这些信息“显然使攻击者更容易定位和确定易受特定漏洞攻击的设备群体。” 更糟糕的是,用于IPP黑客攻击的工具也可以在线获得。诸如PRET(打印机利用工具包)之类的工具支持IPP黑客攻击,并且过去也曾用于劫持打印机并强迫他们打印各种宣传消息。但是,同样的工具箱也可能用得更糟,例如完全接管易受攻击的设备。 免费的每日IPP暴露报告影子服务器基金会表示,今后计划在其网站上发布有关IPP暴露的每日报告。 “我们希望在我们新的开放IPP设备报告中共享的数据将导致减少Internet上启用IPP的暴露打印机的数量,并提高人们意识到将此类设备暴露于未经身份验证的扫描仪/攻击者的危险性”,该组织在本月发布的报告中说。 如果任何IPP服务在其网络和国家/地区的IP地址空间中在线公开,则订阅组织安全警报的公司或国家CERT团队将收到自动通知。 但是,Shadowserver Foundation因在对抗和破坏僵尸网络方面的工作而在Infosec社区中赢得了相当多的关注,该基金会表示,公司应该在确保打印机安全的同时,还应加以保护。 该组织说:“很多人不太可能需要使所有人都能使用这种打印机。” “这些设备应该经过防火墙保护和/或启用身份验证机制。” Shadowserver Foundation关于处理暴露于互联网的设备的主动建议与去年的一项学术研究结果一致,该研究发现DDoS删除通常无效,执法部门应集中精力对系统进行修补,以限制攻击媒介的攻击。对攻击者有用。 要配置IPP访问控制和IPP身份验证功能,建议用户检查其打印机手册。大多数打印机在其管理面板中都有一个IPP配置部分,用户可以从中启用身份验证,加密并通过访问列表限制对设备的访问。 亚太的IP资源本来就稀缺,应该比较少可能会给打印机独立公网IP。 文章来源:zdnet |
|
|
