信息来源:Freebuf
多年以来,每台没有受到防火墙保护的在线设备都是攻击面。
黑客可以部署漏洞以强行控制系统,或者他们可以在不需要身份验证的情况下简单地连接到暴露的端口。
以这种方式被黑客入侵的设备有时会被恶意软件束缚在僵尸网络中,或者充当大型企业网络的最初立足点和后门。
尽管这是网络安全和IT专家的常识,但我们仍然有大量不安全的设备暴露在网上。
在本月初发布的一份报告中,致力于改善全球网络安全实践的非营利组织 ShadowserverFoundation 的安全研究人员发布了有关公司将打印机暴露在网上的警告。
Shadowserver 专家扫描了所有 40 亿可路由的 IPv地址,以查找暴露其 IPP 端口的打印机。
IPP代表“互联网打印协议”,顾名思义,该协议允许用户管理与Internet连接的打印机,并将打印机作业发送到在线主机打印机。
IPP与许多其他打印机管理协议之间的区别在于IPP是一种安全协议,它支持高级功能,例如访问控制列表,身份验证和加密通信,然而,这并不意味着设备所有者正在使用这些功能。
Shadowserver专家表示,他们专门扫描了Internet上具有IPP功能的打印机,这些打印机在没有受到防火墙保护的情况下仍处于暴露状态,并允许攻击者通过“获取打印机属性”功能查询本地详细信息。
使用搜索引擎BinaryEdge进行的正常扫描显示,平均每天通过IPP端口发现大约80,000台打印机,而这些打印机每天都会在网上曝光。
IPP端口曝光而没有任何其他安全保护(例如防火墙或身份验证机制)会导致很多问题。
例如,Shadowserver的专家表示此端口可用于收集情报:因为支持IPP的打印机中有很大一部分(例如打印机名称,位置,型号,固件版本,组织名称甚至WiFi网络名称)返回了有关其自身的其他信息,攻击者可以收集此信息,然后通过该信息检查公司网络,以便于将来的攻击。
此外,其中支持IPP的打印机的四分之一(约21,000台)也透露了其设计和制造的细节,公开这些信息显然使攻击者更容易找到特定漏洞的设备群体。
糟糕的是,IPP黑客工具也可以在线获得。 诸如PRET(打印机操作工具包)支持IPP黑客攻击,并且过去曾被用于劫持和强迫打印机打印各种宣传消息,甚至可能完全接管易受攻击的设备。
Shadowserver 基金会表示,计划将来在其网站上发布每日IPP暴露报告。
“我们希望在我们的新开放空间中共享IPP设备数据报告,这将减少启用IPP的裸露打印机的数量,并提高人们对将这种设备暴露给未经身份验证的扫描仪/攻击者的危险的认识。”
订阅组织安全警报的公司或国家CERT团队将在国家/地区的网络和IP地址空间中在线公开任何IPP服务时收到自动通知。
Shadowserver基金会针对处理暴露于互联网的设备提供的前瞻性建议与去年的学术研究结果一致,该研究发现DDoS删除通常无效,执法部门应将重点放在修补系统上,以限制攻击者。
同时建议用户阅读打印机的手册,以配置IPP访问控制和IPP身份验证功能,在打印机尚未被利用的情况下做好保护,管理面板中的大多数打印机都有IPP配置部分,用户可以从中启用身份验证,加密并通过访问列表限制对设备的访问。