Netzwerkdrucker ausgenutzt (gelesen: gehackt), um antisemitische Dokumente zu drucken. Wie repariert man?

33

Ich bin mir nicht sicher, ob dies hier oder auf security.stackexchange.com gefragt werden soll ...

Am langen Osterwochenende hatte ein kleines Büro einen Netzwerkbruch, weil ein alter HP-Drucker zum Drucken einiger sehr anstößiger antisemitischer Dokumente verwendet wurde. Es scheint, als sei es einer Reihe von Universitäten in westlichen Kulturen auf der ganzen Welt passiert .

Wie auch immer ... Ich habe gelesen, dass es sich bei den meisten Netzwerkdruckern tatsächlich um eine ziemlich grundlegende Sicherheitsanwendung handelt. Das hat etwas mit dem TCP-Port 9100 und dem Zugang zum Internet zu tun. Ich konnte nicht viele Informationen über das Wie finden, weil sich jeder zu sehr mit dem Warum zu befassen scheint.

Die Netzwerkeinrichtung ist für das betroffene Büro recht einfach. Es verfügt über 4 PCs, 2 Netzwerkdrucker, einen 8-Port-Switch und ein Modem / einen Router für Privathaushalte mit einer ADSL2 + -Verbindung (mit statischer Internet-IP und einer hübschen Vanille-Konfiguration).
Liegt die Schwachstelle im Modem / Router oder im Drucker?

Ich habe einen Drucker nie wirklich als ein Sicherheitsrisiko angesehen, das konfiguriert werden muss. Um das Netzwerk dieses Büros zu schützen, möchte ich verstehen, wie die Drucker ausgenutzt wurden. Wie kann ich den Exploit stoppen oder blockieren? Überprüfen oder testen Sie den Exploit (oder den korrekten Block des Exploits) in unseren anderen, viel größeren Büros?

networking security network-printer Reece
quelle
6
arstechnica.com/information-technology/2016/03/…
84104
4
"Druckauftrag an jeden sichtbaren Drucker in Nordamerika gesendet"? Klingt, als hasse er Bäume fast genauso wie Menschen.
Peter Cordes
3
"Verwenden Sie eine Firewall und stellen Sie keine Ports für das Internet zur Verfügung, es sei denn, Sie möchten, dass sie geöffnet werden", wäre ein guter Anfang.
Shadur

Antworten:

41

Dieser Angriff wirkte sich unverhältnismäßig stark auf Universitäten aus, da viele Universitäten aus historischen Gründen öffentliche IPv4-Adressen für den größten Teil oder das gesamte Netzwerk verwenden und aus akademischen Gründen kaum oder gar keine Ingress-Filterung (oder Egress-Filterung) verwenden. So können viele einzelne Geräte in einem Universitätsnetzwerk von überall im Internet direkt erreicht werden.

In Ihrem speziellen Fall, einem kleinen Büro mit einer ADSL-Verbindung und einem Heim- / SOHO-Router und einer statischen IP-Adresse, hat höchstwahrscheinlich jemand im Büro den TCP-Port 9100 explizit aus dem Internet an den Drucker weitergeleitet. (Standardmäßig kann eingehender Datenverkehr nicht weitergeleitet werden, da NAT verwendet wird, es sei denn, es wurden Vorkehrungen getroffen, um ihn an einen anderen Ort zu leiten.) Um dies zu beheben, entfernen Sie einfach die Portweiterleitungsregel.

In größeren Büros mit ordnungsgemäßer Ingress-Firewall haben Sie im Allgemeinen keine Zulassungsregeln für diesen Port an der Grenze, außer möglicherweise für VPN-Verbindungen, wenn Sie möchten, dass Benutzer über Ihr VPN drucken können.

Um den Drucker / Druckserver selbst zu sichern, geben Sie in der integrierten Zulassungs- / Zugriffssteuerungsliste den Bereich (die Bereiche) der IP-Adressen an, die zum Drucken auf dem Drucker zugelassen sind, und verweigern Sie alle anderen IP-Adressen. (Das verknüpfte Dokument enthält auch andere Empfehlungen zum Sichern Ihrer Drucker / Druckserver, die Sie ebenfalls bewerten sollten.)

Michael Hampton
quelle
16
@ReeceDodds Es ist nur HP PCL, für das praktisch jedes Betriebssystem bereits Treiber enthält und das es seit mehr als einem Jahrzehnt gibt.
Michael Hampton
3
netcatkann arbeiten.
Ewwhite
5
Oder es wurde möglicherweise von UPnP auf dem Router geöffnet. Dies wird häufig in vielen SOHO-Routern aktiviert. Stellen Sie sicher, dass dies an Ihrem Router deaktiviert ist.
Matt
4
Sie hatten Recht, was den Hafen betrifft. So einfach wie! Jemand hatte es geöffnet und an den Drucker weitergeleitet - ich würde annehmen, dass ein verwalteter Drucklösungsanbieter möglicherweise überwacht. Sie haben kürzlich FMAudit installiert. Die anderen im Router vorhandenen Portforwards wurden vor einigen Jahren von mir eingerichtet und sind auf die WAN-IP des Büros beschränkt, in dem ich mich befinde . I.imgur.com/DmS6Eqv.png Ich habe den Anbieter um eine statische IP gebeten und sperren es nur auf diese WAN-IP.
Reece
6
Es stellte sich heraus, dass es nicht für FMaudit weitergeleitet wurde. Einer der Mitarbeiter verfügt über eine RDP-Anmeldung bei einem Remoteserver, für den ein direkter Druck über Port 9100 erforderlich ist. Ich habe eine Zugriffssteuerungsliste im Drucker eingerichtet und die WAN-IPs beschränkt, die die Portweiterleitungsregel verwenden können. Er kann immer noch drucken, und jetzt müssen sie nicht mehr auf Männerjagd gehen, um herauszufinden, welcher der vier Angestellten ein Neonazi war.
Reece
11

Zur Antwort von Michael Hampton. Ja, es ist wahrscheinlich eine Port Forward-Regel. Aber das ist normalerweise nichts, was jemand absichtlich bloßstellen würde. Es kann jedoch von UPnP-Geräten hinzugefügt werden. Am wahrscheinlichsten, wenn UPnP auf Ihrem Router für Privatanwender aktiviert ist.

Die Drucker von Universitäten werden wahrscheinlich aus anderen Gründen gehackt, da Router für Unternehmen in der Regel kein UPnP unterstützen und diese standardmäßig deaktiviert sind. In solchen Situationen sind die Universitäten groß und haben viele öffentliche IPs und sehr komplexe Netzwerke und manchmal mehrere IT-Abteilungen mit zahlreichen Subschulen und Campus. Und vergessen Sie nicht die studentischen Hacker, die gerne herumstöbern.

Aber zurück zu meiner UPnP-Theorie, die zu Ihrem Fall passen könnte.

Es ist unwahrscheinlich, dass jemand absichtlich Port 9100 auf Ihrem Router öffnet, damit Ihr Drucker für die Welt offen ist. Nicht unmöglich, aber eher unwahrscheinlich.

Hier einige Informationen zum wahrscheinlicheren UPnP-Täter:

Laut Forschern setzen UPnP-Fehler zig Millionen vernetzter Geräte Remote-Angriffen aus

Auf diese Weise wurden Tausende von IP-Kameras gehackt, obwohl sie sich hinter NAT-Routern befanden.

Mehr hier: Nutzung des universellen Plug-n-Play-Protokolls, unsicherer Überwachungskameras und Netzwerkdrucker Diese Artikel sind einige Jahre alt, aber immer noch relevant. UPnP ist einfach kaputt und es ist unwahrscheinlich, dass es repariert wird. Deaktiviere es.

Der letzte Teil des ersten Absatzes im zweiten Artikel bringt es auf den Punkt:

Schließlich wartet Ihr Netzwerkdrucker nur darauf, gehackt zu werden.

Befolgen Sie abschließend den Rat von Michael Hampton und fügen Sie nach Möglichkeit eine Zugriffssteuerungsliste hinzu.

Matt
quelle
Unterstützt der JetDirect überhaupt UPnP?
Michael Hampton
Früher hatte ich eine mit UPnP. UPnP ist jedoch nicht der einzige Fehler. Verrückt! irongeek.com/i.php?page=security/networkprinterhacking
Matt