ネットワークプリンターが悪用されて(読み取り:ハッキングされて)反ユダヤ文書を印刷します。直し方?

33

security.stackexchange.comでこれをここで尋ねるか、繰り返して質問すべきかはわかりません...

イースターの長い週末、私たちの小さなオフィスでは、古いHPプリンターを使用して非常に不快な反ユダヤ文書を印刷していたため、ネットワークが侵害されました。それは世界中の西洋文化の多くの大学に起こったようです

とにかく...私はそれが実際にほとんどのネットワークプリンタでかなり基本的なセキュリティ攻撃であることを読んだ。TCPポート9100とインターネットへのアクセスに関係しています。誰もがその理由に関心を持ちすぎているように見えるので、私はその方法の詳細について多くの情報を見つけることができませんでした。

ネットワークのセットアップは、影響を受けたオフィスにとって非常に簡単です。4台のPC、2台のネットワークプリンター、8ポートスイッチ、およびADSL2 +接続を実行するレジデンシャルモデム/ルーター(静的インターネットIPおよびかなり標準的な構成)があります。
モデム/ルーターまたはプリンターの弱点はありますか?

構成する必要のあるセキュリティリスクとしてプリンタを実際に考えたことがないので、このオフィスのネットワークを保護するために、プリンタがどのように悪用されたかを理解したいと思います。エクスプロイトを停止またはブロックするにはどうすればよいですか?そして、他のはるかに大きなオフィスでエクスプロイト(またはエクスプロイトの正しいブロック)を確認またはテストしますか?

networking  security  network-printer 
リース
ソース
6
84104
4
「北米のすべての目に見えるプリンターに印刷ジョブを送信しましたか?」彼は人を嫌うのと同じくらい木を嫌うように聞こえます。
ピーター
3
「ファイアウォールを使用し、ポートを開かない限り、インターネットにポートを公開しないでください」が良いスタートです。
シャドゥール

回答:

41

歴史的な理由で、多くの大学がネットワークのほとんどまたはすべてにパブリックIPv4アドレスを使用し、学問的な理由でイングレス(またはエグレス)フィルタリングがほとんどまたはまったくないため、この攻撃は大学に不釣り合いに影響しました。したがって、大学のネットワーク上の多くの個々のデバイスには、インターネット上のどこからでも直接アクセスできます。

ADSL接続とホーム/ SOHOルーターおよび静的IPアドレスを備えた小規模オフィスの場合、オフィスの誰かがTCPポート9100をインターネットからプリンターに明示的に転送した可能性が最も高くなります。(デフォルトでは、NATが使用されているため、どこかに転送するための準備が行われない限り、着信トラフィックはどこにも行きません。)これを修正するには、単にポート転送ルールを削除します。

適切なイングレスファイアウォールを備えた大規模なオフィスでは、通常、VPN経由で印刷できるようにする必要がある場合のVPN接続を除き、このポートに対する境界での許可ルールはありません。

プリンター/プリントサーバー自体を保護するには、組み込みの許可リスト/アクセス制御リストを使用して、プリンターへの印刷を許可するIPアドレスの範囲を指定し、他のすべてのIPアドレスを拒否します。(リンクされたドキュメントには、プリンタ/プリントサーバーを保護するためのその他の推奨事項も含まれています。これも評価する必要があります。)

マイケル・ハンプトン
ソース
16
@ReeceDoddsこれはHP PCLであり、事実上すべてのオペレーティングシステムには既に含まれているドライバーがあり、10年以上にわたって使用されています。
マイケルハンプトン
3
netcat働ける。
ewwhite
5
または、UPnPによってルーター上で開かれた可能性があります。多くのSOHOルーターでしばしば有効になるもの。これがルーターでオフになっていることを確認してください。
マット
4
あなたはポートフォワードについて正しかった。とても簡単です!誰かがそれを開いてプリンタに転送していました-管理された印刷ソリューションのプロバイダーはおそらく監視していると思います。彼らは最近FMAuditをインストールしました。転送ルータに存在する他のポートには、数年前に私が設定したと私はに常駐事務所のWAN IPに限定されている。i.imgur.com/DmS6Eqv.png私は静的IPのプロバイダに連絡しましたそのWAN IPのみにロックダウンします。
リース
6
FMauditに転送されなかったことがわかります。スタッフの1人は、ポート9100を介した直接印刷を必要とするリモートサーバーへのRDPログインを持っています。プリンターにACLを設定し、ポート転送ルールを使用できるWAN IPを制限しました。彼はまだ印刷することができ、今では4人のスタッフのうちどれがクローゼットのネオナチであったかを見つけるために人を探す必要はありません。
リース
11

マイケル・ハンプトンの答えを拡張します。はい、それはおそらくポートフォワードルールです。しかし、通常、それは誰かが意図的に公開するものではありません。ただし、UPnPデバイスによって追加できます。最も可能性が高いのは、家庭用グレードのルーターでUPnPを有効にすることです。

企業グレードのルーターは通常UPnPをサポートしていないため、大学では他の理由でプリンターがハッキングされており、その場合はデフォルトで無効にされます。そのような状況では、大学は大きく、多くのパブリックIPと非常に複雑なネットワーク、そして時には複数のサブスクールとキャンパスを持つ複数のIT部門があります。そして、周りを突くのが好きな学生ハッカーを忘れないでください。

しかし、あなたのケースに合う私のUPnP理論に戻りましょう。

誰かがルーターのポート9100を意図的に開いて、プリンターを世界中に公開できるようになることはまずありません。不可能ではありませんが、ややありそうにありません。

犯人である可能性の高いUPnPに関する情報を次に示します。

UPnPの欠陥により、数千万台のネットワークデバイスがリモート攻撃にさらされる、と研究者は述べています

これにより、NATルーターの背後にあるにもかかわらず、何千台ものIPカメラがハッキングされました。

詳細:ユニバーサルプラグアンドプレイプロトコル、セキュリティ保護されていないセキュリティカメラ、ネットワークプリンターの活用 これらの記事は数年前のものですが、依然として関連しています。UPnPは単純に壊れており、修正される可能性は低いです。無効にします。

2番目の記事の最初の段落の最後の部分は、実際に次のように要約しています。

最後に、ネットワークプリンタがハッキングされるのを待っています。

最後に、Michael Hamptonのアドバイスに従い、可能であればアクセス制御リストを追加します。

マット
ソース
JetDirectはUPnPもサポートしていますか?
マイケルハンプトン
以前はUPnPを使用していたものがありました。ただし、UPnPだけが欠陥ではありません。クレイジー! irongeek.com/i.php?page=security/networkprinterhacking
マット
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.