Une imprimante réseau exploitée (lire: piraté) pour imprimer des documents antisémites. Comment réparer?


33

Je ne sais pas si cela devrait être demandé ici ou plus sur security.stackexchange.com ...

Pendant le long week-end de Pâques, l'un de nos petits bureaux avait une brèche de réseau: une vieille imprimante HP était utilisée pour imprimer des documents antisémites très choquants. Il semble que cela soit arrivé à plusieurs universités de cultures occidentales du monde entier .

Quoi qu'il en soit ... J'ai lu que c'était en fait un exploit de sécurité assez basique avec la plupart des imprimantes en réseau. Quelque chose à voir avec le port TCP 9100 et l'accès à Internet. Je n'ai pas pu trouver beaucoup d'informations sur les détails de la façon dont tout le monde semble trop préoccupé par le pourquoi.

La configuration du réseau est assez simple pour le bureau concerné. Il dispose de 4 ordinateurs, de 2 imprimantes en réseau, d’un commutateur à 8 ports et d’un modem / routeur résidentiel doté d’une connexion ADSL2 + (avec une adresse IP statique et une jolie configuration vanille).
Le point de faiblesse du modem / routeur ou de l'imprimante est-il?

Je n'ai jamais vraiment considéré une imprimante comme un risque de sécurité devant être configuré. Par conséquent, afin de protéger le réseau de ce bureau, j'aimerais comprendre comment les imprimantes ont été exploitées. Comment puis-je arrêter ou bloquer l'exploit? Et vérifier ou tester l'exploit (ou le bloc correct de l'exploit) dans nos autres bureaux beaucoup plus grands?



4
"envoyé un travail d'impression à chaque imprimante visible en Amérique du Nord"? On dirait qu'il déteste les arbres presque autant qu'il déteste les gens.
Peter Cordes

3
"Utilisez un pare-feu et n'exposez pas les ports à Internet à moins que vous ne souhaitiez les ouvrir" serait un bon début.
Shadur

Réponses:


41

Cette attaque a touché les universités de manière disproportionnée car, pour des raisons historiques, de nombreuses universités utilisent des adresses IPv4 publiques pour la plupart ou la totalité de leur réseau et que, pour des raisons académiques, elles ne filtrent que très peu (ou pas!). Ainsi, de nombreux appareils individuels d'un réseau universitaire peuvent être atteints directement de n'importe où sur Internet.

Dans votre cas particulier, dans un petit bureau avec une connexion ADSL, un routeur domestique / SOHO et une adresse IP statique, il est fort probable que quelqu'un du bureau a explicitement transféré le port TCP 9100 d'Internet à l'imprimante. (Par défaut, étant donné que NAT est utilisé, le trafic entrant n'a nulle part où aller, à moins que des dispositions soient prises pour le diriger quelque part.) Pour remédier à cela, il vous suffit de supprimer la règle de transfert de port.

Dans les grands bureaux dotés d’un pare-feu d’entrée adéquat, vous n’avez généralement pas de règles d’autorisation pour ce port à la frontière, sauf peut-être pour les connexions VPN si vous avez besoin que des personnes puissent imprimer sur votre VPN.

Pour sécuriser l'imprimante / le serveur d'impression lui-même, utilisez sa liste de contrôle d'accès / autorisation intégrée intégrée pour spécifier la ou les plages d'adresses IP autorisées à imprimer sur l'imprimante et refuser toutes les autres adresses IP. (Le document lié contient également d'autres recommandations pour la sécurisation de vos imprimantes / serveurs d'impression, que vous devriez également évaluer.)


16
@ReeceDodds C'est juste HP PCL, qui depuis pratiquement tous les systèmes d'exploitation possède des pilotes, et le fait depuis plus d'une décennie.
Michael Hampton

3
netcatpeut marcher.
ewwhite

5
Ou il a peut-être été ouvert sur le routeur par UPnP. Quelque chose qui est souvent activé dans de nombreux routeurs SOHO. Vérifiez que ceci est désactivé sur votre routeur.
Matt

4
Vous aviez raison pour le port en avant. Si simple hein! Quelqu'un l'avait ouvert et dirigé vers l'imprimante - je suppose que pour les fournisseurs de solutions d'impression gérées, la surveillance peut-être. Ils ont récemment installé FMAudit. Les autres ports de transfert existants dans le routeur ont été configurés par moi il y a quelques années et se limitent à l'adresse IP WAN du bureau dans lequel je réside. I.imgur.com/DmS6Eqv.png J'ai contacté le fournisseur pour obtenir une adresse IP statique. et le verrouillera uniquement à cette adresse IP WAN.
Reece

6
Il s'avère qu'il n'a pas été transmis pour FMaudit. L'un des membres du personnel dispose d'une connexion RDP à un serveur distant qui nécessitait une impression directe via le port 9100. J'ai configuré une liste de contrôle d'accès dans l'imprimante et limité les adresses IP de réseau étendu pouvant utiliser la règle de transfert de port. Il peut encore imprimer et maintenant, ils n'ont plus à partir à la chasse aux hommes pour savoir lequel des quatre employés était un néo-nazi au placard.
Reece

11

Étendre la réponse de Michael Hampton. Oui, c'est probablement une règle de transfert de port. Mais généralement ce n'est pas quelque chose que quelqu'un exposerait délibérément. Cependant, il peut être ajouté par les périphériques UPnP. Très probablement en activant le protocole UPnP sur votre routeur de classe résidentielle.

Les universités ont probablement leurs imprimeurs piratés pour d'autres raisons, car les routeurs de niveau entreprise ne prennent généralement pas en charge le protocole UPnP et s'ils le faisaient, ils seraient désactivés par défaut. Dans ces situations, les universités sont grandes et possèdent de nombreuses adresses IP publiques, des réseaux très complexes et parfois plusieurs départements informatiques avec de nombreuses sous-écoles et campus. Et n'oubliez pas les pirates étudiants qui aiment fouiner.

Mais revenons à ma théorie UPnP qui pourrait convenir à votre cas.

Il est peu probable que quelqu'un ouvre délibérément le port 9100 de votre routeur pour permettre à votre imprimante de s'ouvrir au monde. Pas impossible, mais quelque peu improbable.

Voici quelques informations sur le coupable le plus probable UPnP:

Selon des chercheurs, des failles UPnP exposent des dizaines de millions de périphériques en réseau à des attaques à distance

C'est ainsi que des milliers de caméras IP ont été piratées malgré le fait qu'elles soient derrière des routeurs NAT.

Plus ici: Exploiter le protocole Universal Plug-n-Play, les caméras de sécurité non sécurisées et les imprimantes réseau Ces articles datent de quelques années mais sont toujours d'actualité. UPnP est simplement cassé et peu susceptible d'être réparé. Le désactiver.

La dernière partie du premier paragraphe du deuxième article le résume vraiment:

Enfin, votre imprimante réseau n'attend que d'être piratée.

Enfin, suivez les conseils de Michael Hampton et ajoutez une liste de contrôle d'accès si possible.


Est-ce que JetDirect prend même en charge UPnP?
Michael Hampton

J'en avais un qui avait UPnP. UPnP n'est cependant pas le seul défaut. Fou! irongeek.com/i.php?page=security/networkprinterhacking
Matt
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.