8万台打印机IPP端口暴露
多年来,安全研究人员一直警告说,每台未、暴露在防火墙之外的在线设备和资产都是攻击面。
黑客可以通过暴露端口部署漏洞利用以控制设备,将其作为僵尸网络的“奴隶”,或者成为进攻大型企业网络的垫脚石和立足点(例如俄罗斯黑客已经在频频使用这种技术)。
但是,避免设备端口暴露是网络安全和IT专家的常识,但仍然有大量设备在网上处于不安全状态。
打印机IPP端口暴露
在本月初发布的一份报告中,致力于改善全球网络安全实践的非营利组织Shadowserver Foundation的安全研究人员发布了大量企业打印机暴露在网上的警告。
Shadowserver的专家扫描了所有40亿个可路由的IPv4地址,以查找暴露IPP端口的打印机。
IPP是“ 互联网打印协议 ”的缩写,顾名思义,该协议允许用户管理与互联网连接的打印机,并将打印作业发送到在线托管的打印机。
IPP与多个其他打印机管理协议之间的区别在于IPP是一种安全协议,它支持高级功能,例如访问控制列表,身份验证和加密通信。
但是,这并不意味着设备所有者正在使用任何这些功能。
Shadowserver专家表示,他们在互联网上扫描了具有IPP功能的打印机,这些打印机在没有受到防火墙保护的情况下处于暴露状态,并允许攻击者通过“获取打印机属性”功能查询本地详细信息。
专家指出,每天平均大约有8万台打印机通过IPP端口暴露在网上。
这个数字大约是当前在线连接的所有支持IPP的打印机的八分之一。使用BinaryEdge搜索引擎进行的常规扫描显示,每天可以通过互联网访问的IPP端口(TCP / 631)数量在650,000至700,000之间。
无防护IPP端口的安全问题
使IPP端口完全在线暴露而没有任何其他保护,例如防火墙或身份验证机制,会导致以下几个主要安全问题:
首先,IPP端口可用于情报收集。因为大量支持IPP的打印机会返回有关其自身的其他信息,例如打印机名称、位置、型号、固件版本、组织名称、甚至WiFi网络名称。
攻击者可以收集这些信息,然后在其中搜索他们想将其作为未来攻击重点的企业网络。
此外,四分之一支持IPP的打印机(约21,000台)公开了其品牌和型号细节。Shadowserver研究人员说,公开这些信息“使攻击者更容易定位和确定易受特定漏洞攻击的设备群体。”
更糟糕的是,用于IPP黑客攻击的工具很容易在线获得。诸如PRET(打印机利用工具包)之类的工具支持IPP黑客攻击,并且过去也曾用于劫持打印机并强迫它们打印各种宣传消息。此外,这些工具包也可能造成更大的破坏,例如完全接管易受攻击的设备。
免费的每日IPP暴露报告
Shadowserver Foundation表示,今后计划在其网站上发布有关IPP暴露的每日报告。
“我们希望在新的开放IPP设备报告中共享的数据将减少互联网上启用IPP的暴露打印机的数量,并提高人们对IPP端口暴露威胁的认知”,该组织在本月发布的报告中说。
据悉,则订阅开放IPP暴露情报服务(https://www.shadowserver.org/what-we-do/network-reporting/open-ipp-report/)的公司或国家CERT团队将在设备暴露时收到自动通知。
Shadowserver Foundation因对抗和破坏僵尸网络方面的工作而在信息安全社区中赢得了相当多的关注,该基金会表示,公司应该在确保打印机安全的同时,还应加以主动保护。
要配置IPP访问控制和IPP身份验证功能,建议用户检查其打印机手册。大多数打印机在其管理面板中都有一个IPP配置部分,用户可以从中启用身份验证,加密并通过访问列表限制对设备的访问。