반유대 문서를 인쇄하기 위해 악용 된 네트워크 프린터 (읽기 : 해킹) 어떻게 고치는 지?

33

여기에 또는 security.stackexchange.com 에서 질문 해야하는지 확실하지 않습니다 ...

부활절 주말 동안 우리 사무실의 소규모 사무실에서는 오래된 HP 프린터를 사용하여 불쾌감을주는 반 반사 문서를 인쇄했습니다. 그것은 전 세계 서양 문화의 여러 대학에서 일어난 것으로 보인다 .

어쨌든 ... 실제로 대부분의 네트워크 프린터에서 기본적인 보안 취약점이라고 읽었습니다. TCP 포트 9100 및 인터넷 액세스와 관련이 있습니다. 모든 사람들이 그 이유에 너무 걱정하는 것처럼 보이기 때문에 구체적인 방법에 대한 많은 정보를 찾을 수 없었습니다.

영향을받은 사무실의 네트워크 설정은 매우 간단합니다. 4 개의 PC, 2 개의 네트워크 프린터, 8 포트 스위치 및 ADSL2 + 연결을 실행하는 가정용 모뎀 / 라우터 (정적 인터넷 IP 및 예쁜 바닐라 구성)가 있습니다.
모뎀 / 라우터 또는 프린터의 취약점이 있습니까?

프린터를 구성해야 할 보안 위험으로 생각한 적이 없었으므로이 사무실의 네트워크를 보호하기 위해 프린터가 어떻게 악용되었는지 이해하고 싶습니다. 익스플로잇을 어떻게 중지하거나 차단할 수 있습니까? 그리고 더 큰 다른 사무실에서 익스플로잇 (또는 익스플로잇의 올바른 블록)을 확인하거나 테스트합니까?

networking  security  network-printer 
리스
소스
6
84104
4
"북아메리카의 모든 가시 프린터에 인쇄 작업을 보냈습니다"? 그는 사람들을 미워하는 것만큼이나 나무를 싫어하는 것 같습니다.
Peter Cordes 2016 년
3
"방화벽을 사용하고 포트를 열지 않는 한 인터넷에 포트를 노출하지 마십시오"는 좋은 시작입니다.
Shadur

답변:

41

이 공격은 역사적으로 많은 대학이 대부분 또는 모든 네트워크에 공용 IPv4 주소를 사용하고 학문적 이유로 수신 (또는 송신!) 필터링이 거의 없기 때문에 불균형하게 영향을받는 대학에 영향을 미칩니다. 따라서 대학 네트워크의 많은 개별 장치는 인터넷의 어느 곳에서나 직접 연결할 수 있습니다.

특정한 경우, ADSL 연결과 집 / SOHO 라우터 및 고정 IP 주소를 가진 소규모 사무실에서는 사무실의 누군가가 TCP 포트 9100을 인터넷에서 프린터로 명시 적으로 전달했을 가능성이 높습니다. (NAT가 사용 중이므로 기본적으로 들어오는 트래픽은 다른 곳으로 보내지 않는 한 갈 곳이 없습니다.)이 문제를 해결하려면 포트 전달 규칙을 제거하면됩니다.

적절한 방화벽이있는 대규모 사무실에서는 일반적으로 사람들이 VPN을 통해 인쇄 할 수 있어야하는 경우 VPN 연결을 제외하고는이 포트에 대한 허용 규칙이 없습니다.

프린터 / 인쇄 서버 자체를 보호하려면 내장 된 허용 목록 / 액세스 제어 목록 을 사용하여 프린터로 인쇄 할 수있는 IP 주소 범위를 지정하고 다른 모든 IP 주소를 거부하십시오. 링크 된 문서에는 프린터 / 프린트 서버 보안에 대한 다른 권장 사항도 포함되어 있으며 평가해야합니다.

마이클 햄튼
소스
16
@ReeceDodds HP PCL은 실제로 모든 운영 체제에 이미 포함 된 드라이버가 있으며 10 년이 넘는 드라이버가 있습니다.
Michael Hampton
3
netcat일할 수있다.
ewwhite
5
또는 UPnP에 의해 라우터에서 열렸을 수 있습니다. 많은 SOHO 라우터에서 종종 활성화되는 것. 라우터에서이 기능이 꺼져 있는지 확인하십시오.
Matt
4
당신은 항만에 대해 옳았습니다. 너무 간단 해! 누군가 그것을 열어 프린터로 보냈습니다. 관리되는 인쇄 솔루션 공급자가 모니터링하는 것으로 가정합니다. 그들은 최근에 FMAudit을 설치했습니다. 전달 라우터에서 기존의 다른 포트는 몇 년 전 내게로 설정되었고, 나는에있는 사무실의 WAN IP로 제한됩니다. i.imgur.com/DmS6Eqv.png 나는 정적 IP의 공급 업체에 연락했습니다 해당 WAN IP로만 잠급니다.
Reece
6
FMaudit에게 전달되지 않은 것으로 나타났습니다. 직원 중 한 명이 포트 9100을 통해 직접 인쇄해야하는 원격 서버에 대한 RDP 로그인이 있습니다. 프린터에서 ACL을 설정하고 포트 전달 규칙을 사용할 수있는 WAN IP를 제한했습니다. 그는 여전히 인쇄 할 수 있으며 이제 네 명의 직원 중 한 사람이 옷장 네오 나치 인 것을 찾기 위해 남자 사냥을 할 필요가 없습니다.
Reece
11

Michael Hampton의 답변을 확장합니다. 예, 아마도 포트 포워드 규칙 일 것입니다. 그러나 일반적으로 누군가 고의적으로 노출하는 것이 아닙니다. 그러나 UPnP 장치로 추가 할 수 있습니다. 주거용 등급 라우터에서 UPnP를 사용하도록 설정했을 가능성이 높습니다.

기업 급 라우터는 일반적으로 UPnP를 지원하지 않으며 기본적으로 비활성화되어 있으면 대학에서 다른 이유로 프린터를 해킹했을 수 있습니다. 이러한 상황에서 대학은 규모가 크며 많은 공공 IP 및 매우 복잡한 네트워크가 있으며 때로는 여러 개의 학교와 캠퍼스가있는 여러 IT 부서가 있습니다. 그리고 찌르기를 좋아하는 학생 해커를 잊지 마십시오.

그러나 귀하의 경우에 맞는 UPnP 이론으로 돌아갑니다.

누군가가 라우터에서 포트 9100을 고의로 열어 프린터를 세상에 공개 할 가능성은 거의 없습니다. 불가능하지는 않지만 다소 가능성이 없습니다.

다음은 가장 가능성있는 범인 UPnP에 대한 정보입니다.

UPnP 결함으로 수천만 개의 네트워크 장치가 원격 공격에 노출됨

NAT 라우터 뒤에 있어도 수천 대의 IP 카메라가 해킹당하는 방식입니다.

자세한 내용은 여기 : 이용 유니버설 플러그 앤 플레이 프로토콜, 불안 보안 카메라 및 네트워크 프린터 이 기사는 몇 세,하지만 여전히 관련입니다. UPnP는 단지 깨져서 고쳐지지 않을 것입니다. 비활성화하십시오.

두 번째 기사에서 첫 번째 단락의 마지막 부분은 실제로 요약합니다.

마지막으로, 네트워크 프린터가 해킹 대기 중입니다.

마지막으로 Michael Hampton의 조언을 따르고 가능한 경우 액세스 제어 목록을 추가하십시오.

매트
소스
JetDirect는 UPnP도 지원합니까?
Michael Hampton
UPnP가있는 것을 사용했습니다. 그러나 UPnP만이 유일한 결함은 아닙니다. 미친! irongeek.com/i.php?page=security/networkprinterhacking
Matt
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.