[PConline 杂谈]连网有风险,尤其是在恶意攻击盛行的当下。为了摆脱数据线以及物理距离的束缚,我们将打印机连入网络,从而实现了远程打印。然而,便捷的同时,也让这些打印机面临着被暴露甚至攻击的危险。要知道,黑客可以在不需要身份验证的情况下,轻松的连接到暴露的端口,部署漏洞以便控制系统,被黑掉的设备在恶意软件的操控下组成僵尸网络。
本月早些时候,非营利组织ShadowserverFoundation发布了一份报告, 通过扫描40亿个路由器的IP地址,查找出暴露其IPP端口的打印机。这里我们要说明一下,IPP(internet printing protocol)代表“互联网打印协议”。
IPP协议依赖于http协议及其他已存在的internet技术,用来加密传输在公用/私用网络上的打印任务。该协议允许用户管理与Internet连接的打印机,并将打印机作业发送到在线主机打印机。
IPP协议基于客户机/服务器模式,在它的许多执行过程中都假定客户机的操作系统以及打印设备都支持IPP协议,而且它们都连入了internet或intranet。依靠所安装的操作系统和图形程序,使用者可以通过打印对话框或其他软件观察打印机的工作状态及物理状态。
IPP与许多其他打印机管理协议之间的区别在于IPP是一种安全协议,它支持高级功能,例如访问控制列表,身份验证和加密通信,然而,这并不意味着设备所有者正在使用这些功能。
Shadowserver的安全专家专门扫描了Internet上具有IPP功能的打印机,这些打印机在没有受到防火墙保护的情况下仍处于暴露状态,并允许攻击者通过“获取打印机属性”功能查询本地详细信息。
而使用搜索引擎BinaryEdge正常扫描显示,平均每天通过IPP端口发现大约8万台打印机,这些打印机每天都会暴露在互联网上。IPP端口曝光却没有任何例如防火墙或身份验证机制的其他安全保护,将会导致很多问题。
比如,利用此端口收集情报。因为在支持IPP协议的打印机中,有很大一部分(例如打印机名称,位置,型号,固件版本,组织名称甚至Wi-Fi网络名称)返回了有关其自身的其他信息,黑客可以收集这些信息,再通过该信息检查公司网络,用于将来的网络攻击。
不仅如此,在这些支持IPP协议的打印机中,有1/4(约21000台)也透露了其设计和制造的细节,公开这些信息显然可以让攻击者更轻松的找到特定漏洞的设备群。更糟糕的是,IPP黑客工具也可以在线获得。
基于以上种种,Shadowserver表示:组织计划将来在其网站上发布每日IPP暴露报告,希望在我们的新开放空间中共享IPP设备数据报告,这将减少启用IPP的打印机的数量,并提高人们对将这种设备暴露给未经身份验证的扫描仪/攻击者的危险的认识。订阅组织安全警报的公司或国家CERT团队将在国家/地区的网络和IP地址空间中在线公开任何IPP服务时收到自动通知。
,