Сетевой принтер использовался (читай: взломан) для печати антисемитских документов. Как исправить?

Я не уверен, стоит ли спрашивать здесь или на security.stackexchange.com ...

В течение пасхальных длинных выходных в нашем небольшом офисе произошел разрыв сети: старый принтер HP использовался для печати некоторых очень оскорбительных антисемитских документов. Это , похоже, произошло с рядом университетов в западных культурах во всем мире .

Во всяком случае ... Я читал, что это на самом деле довольно простой эксплойт безопасности с большинством сетевых принтеров. Что-то делать с TCP-портом 9100 и доступом в интернет. Я не смог найти много информации о специфике того, как, потому что все, кажется, слишком обеспокоены тем, почему.

Настройка сети довольно проста для офиса, который пострадал. Он имеет 4 ПК, 2 сетевых принтера, 8-портовый коммутатор и жилой модем / маршрутизатор с подключением ADSL2 + (со статическим IP-адресом в Интернете и довольно ванильной конфигурацией).
Точка слабости в модеме / роутере или принтере?

Я никогда не рассматривал принтер как угрозу безопасности, которую нужно настраивать, поэтому, пытаясь защитить сеть этого офиса, я хотел бы понять, как эксплуатируются принтеры. Как я могу остановить или заблокировать эксплойт? И проверить или проверить на наличие эксплойта (или правильного блока эксплойта) в других наших гораздо более крупных офисах?

Эта атака непропорционально повлияла на университеты, потому что по историческим причинам многие университеты используют публичные адреса IPv4 для большей части или всей своей сети, а по академическим причинам фильтрация входа или выхода практически отсутствует. Таким образом, многие отдельные устройства в университетской сети могут быть доступны напрямую из любого места в Интернете.

В вашем конкретном случае, небольшом офисе с ADSL-соединением и домашним / SOHO-маршрутизатором и статическим IP-адресом, наиболее вероятно, что кто-то в офисе явно перенаправил TCP-порт 9100 из Интернета на принтер. (По умолчанию, поскольку NAT используется, входящему трафику некуда деваться, если не предусмотрено какое-либо условие для его направления куда-либо.) Чтобы исправить это, вы просто удалите правило переадресации портов.

В больших офисах с надлежащим входным межсетевым экраном у вас обычно не будет никаких разрешающих правил для этого порта на границе, за исключением, возможно, VPN-подключений, если вам нужны люди, чтобы иметь возможность печатать через ваш VPN.

Чтобы защитить сам принтер / сервер печати, используйте встроенный список разрешений / список контроля доступа, чтобы указать диапазон (-ы) IP-адресов, разрешенных для печати на принтере, и запретить все остальные IP-адреса. (Связанный документ также содержит другие рекомендации по обеспечению безопасности ваших принтеров / серверов печати, которые вы также должны оценить.)

Чтобы продолжить ответ Майкла Хэмптона. Да, это скорее правило перенаправления портов. Но обычно это не то, что кто-то намеренно обличает. Однако он может быть добавлен устройствами UPnP. Скорее всего, с включенным UPnP на вашем маршрутизаторе жилого уровня.

У университетов, вероятно, есть свои принтеры, взломанные по другим причинам, поскольку маршрутизаторы корпоративного уровня обычно не поддерживают UPnP, и если они это сделают, то по умолчанию они будут отключены. В таких ситуациях университеты большие и имеют множество общедоступных IP-адресов и очень сложные сети, а иногда и несколько отделов ИТ с многочисленными подшколами и кампусами. И не забывайте о студенческих хакерах, которые любят ковыряться.

Но вернемся к моей теории UPnP, которая может соответствовать вашему случаю.

Маловероятно, что кто-то намеренно открыл порт 9100 на вашем маршрутизаторе, чтобы ваш принтер был открыт для всего мира. Не невозможно, но несколько маловероятно.

Вот некоторая информация о наиболее вероятном виновнике UPnP:

Исследователи говорят, что уязвимости UPnP подвергают десятки миллионов сетевых устройств удаленным атакам

Таким образом мы взломали тысячи IP-камер, несмотря на то, что были за маршрутизаторами NAT.

Подробнее здесь: использование универсального протокола Plug-n-Play, небезопасных камер безопасности и сетевых принтеров Этим статьям несколько лет, но они по-прежнему актуальны. UPnP просто сломан и вряд ли будет исправлен. Отключи это.

Последняя часть первого абзаца во второй статье действительно подводит итог:

Наконец, ваш сетевой принтер просто ожидает взлома.

И наконец, следуйте советам Майкла Хэмптона и добавьте список контроля доступа, если это возможно.