多年来,安全研究员就一直警告称被暴露在互联网上的未受防火墙保护的设备都是一个攻击面。黑客能够部署 exploit,强制接管设备或者在无需认证的情况下直接连接到被暴露的端口。以这种方式遭入侵的设备通常用于恶意软件僵尸网络中,或者当作入侵企业内网的初始立足点和后门。然而,尽管这已是网络安全专家和 IT 专家的常识,但我们仍然看到大量不安全的设备遭暴露的情况。非营利组织 Shadowserver Foundation 在本月初发布报告向企业发出警告称,打印机被暴露在互联网上。更具体地讲,该组织的专家扫描了所有40亿可路由的 IPv4 地址,查找 IPP 端口遭暴露的打印机。IPP 即“互联网打印协议 (Internet PrintingProtocol)”,允许用户管理连接互联网的打印机并向网络托管的打印机发送打印任务。IPP 和其它打印机管理协议之间的区别在于,IPP 是支持高级功能如访问控制列表、认证和加密通信的安全协议。然而,这并不意味着设备所有人使用了其中的任何功能。Shadowserver 组织的专家指出,他们扫描互联网发现了具有IPP能力的打印机被暴露在互联网上、未受防火墙保护,还可允许攻击者通过 “Get-Printer-Attributes”函数查询本地详情。专家表示他们平均每天发现约8万台打印机被暴露在互联网上,是目前联网的所有具有 IPP 功能打印机的八分之一。通过 BinaryEdge 搜索引擎的普通扫描,每天发现约65万台至70万台设备将 IPP 端口 (TCP/631) 暴露在互联网上。IPP 端口未受任何安全措施如防火墙或认证机制而被完全暴露到互联网上会产生多种重大问题。Shadowserver 组织的专家表示,首先该端口可被用于收集情报,原因是大量 IPP 打印机会返回其它关于自身的信息如打印机名称、地址、型号、固件版本、所在组织机构名称甚至是 WiFi 网络名称。攻击者能够收集该信息并从中搜索未来想要实施攻击的企业网络。另外,约四分之一的打印机(约2.1万台)也暴露了其制造产商和型号详情。研究人员表示这种信息暴露“显然可使攻击者更加轻易地定位并攻击易受具体漏洞影响的设备。”更糟糕的是,IPP 黑客工具还可在网上找到,它们可用于引发宣传鼓吹材料,甚至可以完全接管易受攻击的设备。Shadowserver 基金会表示未来打算在网站上公布 IPP 暴露情况每日报告,“我们希望新增的 IPP 设备报告中共享的数据能够减少遭暴露的 IPP 打印机,并提高人们关于将此类报告暴露给未认证扫描器/攻击者的危险的意识。”订阅 Shadowserver 基金会安全警告消息的企业或国家 CERT 团队将可收到关于自身网络以及国家 IP 地址空间内的 IPP 服务暴露情况。不过该组织表示企业应当在打印机服务未遭利用之前保护其安全,“很多企业可能并不需要让所有人都拥有访问打印机的权限。这些设备应当受到防火墙的保护以及/或者启用认证机制。”Shadowserver 基金会对于保护遭暴露的联网设备的建议和去年某学术研究结果一样,即通常阻击 DDoS 攻击是无效的,执法部门应当修复系统以限制攻击向量对于攻击者的用处。该组织建议用户按照打印机的使用手册配置 IPP 访问控制以及 IPP 认证功能。多数打印机在管理员面板中都有 IPP 配置部分,用户可以启用认证、加密并通过访问列表限制对设备的访问。
https://www.zdnet.com/article/80000-printers-are-exposing-their-ipp-port-online/
题图:Pixabay License
文内图:微软
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~