Impressora de rede explorada (leia-se: hackeada) para imprimir documentos anti-semitas. Como consertar?

Question

Impressora de rede explorada (leia-se: hackeada) para imprimir documentos anti-semitas. Como consertar?

#1 resposta do (41 votos)
#2 resposta do (11 votos)

33

Não tenho certeza se isso deve ser feito aqui ou no security.stackexchange.com ...

Durante o longo fim de semana da Páscoa, um pequeno escritório nosso tinha uma brecha na rede em que uma impressora HP antiga era usada para imprimir alguns documentos antissemitas muito ofensivos. parece ter acontecido com diversas universidades em culturas ocidentais em todo o mundo .

De qualquer forma ... eu li que é realmente uma exploração de segurança básica com a maioria das impressoras em rede. Algo a ver com a porta TCP 9100 e acesso à internet. Não consegui encontrar muita informação sobre os detalhes de como, porque todos parecem muito preocupados com o porquê.

A configuração da rede é bastante simples para o escritório afetado. Ele tem 4 PCs, 2 impressoras em rede, um switch de 8 portas e um modem / roteador residencial que executa uma conexão ADSL2 + (com IP de Internet estático e uma configuração bonita de baunilha). É o ponto de fraqueza no modem / roteador ou na impressora?

Eu nunca considerei uma impressora como um risco de segurança que precisa ser configurado, então, em um esforço para proteger a rede desse escritório, gostaria de entender como as impressoras foram exploradas. Como posso parar ou bloquear a exploração? E verifique ou teste a exploração (ou o bloco correto da exploração) em nossos outros escritórios maiores?

por Reece 30.03.2016 / 00:45

2 respostas

11

Para estender a resposta de Michael Hampton. Sim, é provável que haja uma regra de encaminhamento de porta. Mas geralmente isso não é algo que alguém exporia deliberadamente. No entanto, pode ser adicionado por dispositivos UPnP. O mais provável é ter o UPnP habilitado em seu roteador residencial.

As universidades provavelmente têm suas impressoras invadidas por outras razões, já que os roteadores corporativos geralmente não suportam UPnP e, se o fizessem, seriam desativados por padrão. Nessas situações, as universidades são grandes e têm muitos IPs públicos e redes muito complexas e, às vezes, vários departamentos de TI com várias sub-escolas e campi. E não se esqueça dos estudantes hackers que gostam de bisbilhotar.

Mas, voltando à minha teoria UPnP, que poderia se encaixar no seu caso.

É improvável que alguém abra deliberadamente a porta 9100 em seu roteador para permitir que sua impressora seja aberta para o mundo. Não é impossível, mas é pouco provável.

Aqui estão algumas informações sobre o provável UPnP:

As falhas UPnP expõem dezenas de milhões de dispositivos em rede a ataques remotos, dizem os pesquisadores

Foi assim que tivemos milhares de câmeras IP invadidas, apesar de estarem por trás dos roteadores NAT.

Mais aqui: Explorando o protocolo Universal Plug-and-Play, câmeras de segurança inseguras & impressoras de rede Esses artigos têm alguns anos, mas ainda são relevantes. O UPnP é simplesmente quebrado e é improvável que seja corrigido. Desabilite isso.

A última parte do primeiro parágrafo do segundo artigo realmente resume:

Lastly, your network printer is just waiting to be hacked.

E, por último, siga o conselho de Michael Hampton e adicione uma lista de controle de acesso, se possível.

por 30.03.2016 / 02:03

Descubra qual processo está mudando um arquivo Mesclar 2 árvores de diretório no Linux sem copiar?

score 41 · Accepted Answer

Esse ataque afetou desproporcionalmente as universidades porque, por razões históricas, muitas universidades usam endereços IPv4 públicos para a maioria ou toda a sua rede e, por razões acadêmicas, têm pouca ou nenhuma filtragem de entrada (ou egresso!). Assim, muitos dispositivos individuais em uma rede universitária podem ser acessados diretamente de qualquer lugar na Internet.

No seu caso específico, um pequeno escritório com uma conexão ADSL e roteador doméstico / SOHO e endereço IP estático, é mais provável que alguém no escritório tenha explicitamente encaminhado a porta TCP 9100 da Internet para a impressora. (Por padrão, como o NAT está em uso, o tráfego de entrada não tem para onde ir, a menos que alguma provisão seja feita para direcioná-lo para algum lugar.) Para remediar isso, basta remover a regra de encaminhamento de porta.

Em escritórios maiores com firewall de entrada adequado, você geralmente não terá regras de permissão para essa porta na fronteira, exceto talvez para conexões VPN se precisar que as pessoas possam imprimir na sua VPN.

Para proteger a impressora / servidor de impressão, use a lista de permissões integrada / lista de controle de acesso para especificar o (s) intervalo (s) de endereços IP autorizados a imprimir na impressora e negar todos os outros endereços IP. (O documento vinculado também contém outras recomendações para proteger suas impressoras / servidores de impressão, que você também deve avaliar.)