Impresora de red explotada (léase: pirateada) para imprimir documentos antisemitas. ¿Como arreglar?

33

No estoy seguro de si esto debería hacerse aquí o más en security.stackexchange.com ...

Durante el largo fin de semana de Pascua, una pequeña oficina nuestra tuvo una falla en la red, ya que se usó una vieja impresora HP para imprimir algunos documentos antisemitas muy ofensivos. Se parece haber ocurrido a un número de universidades en las culturas occidentales de todo el mundo .

De todos modos ... leí que en realidad es una vulnerabilidad de seguridad bastante básica con la mayoría de impresoras en red. Algo relacionado con el puerto TCP 9100 y el acceso a internet. No he podido encontrar mucha información sobre los detalles de cómo porque todos parecen demasiado preocupados por el por qué.

La configuración de la red es bastante simple para la oficina afectada. Tiene 4 PC, 2 impresoras en red, un conmutador de 8 puertos y un módem / enrutador residencial que ejecuta una conexión ADSL2 + (con IP de Internet estática y una configuración bastante original).
¿Es el punto de debilidad en el módem / enrutador o la impresora?

Realmente nunca he considerado una impresora como un riesgo de seguridad que debe configurarse, por lo que en un esfuerzo por proteger la red de esta oficina, me gustaría entender cómo se explotaron las impresoras. ¿Cómo puedo detener o bloquear el exploit? ¿Y comprobar o probar el exploit (o el bloque correcto del exploit) en nuestras otras oficinas mucho más grandes?

Reece
fuente
44
¿"trabajo de impresión enviado a todas las impresoras visibles en América del Norte"? Parece que odia los árboles casi tanto como odia a las personas.
Peter Cordes
3
"Usar un cortafuegos y no exponer puertos a Internet a menos que desee que se abran" sería un buen comienzo.
Shadur

Respuestas:

41

Este ataque afectó desproporcionadamente a las universidades porque, por razones históricas, muchas universidades usan direcciones IPv4 públicas para la mayoría o la totalidad de su red, y por razones académicas tienen poco o ningún filtro de entrada (¡o salida!). Por lo tanto, se puede acceder a muchos dispositivos individuales en una red universitaria directamente desde cualquier lugar de Internet.

En su caso específico, una oficina pequeña con una conexión ADSL y un enrutador doméstico / SOHO y una dirección IP estática, es muy probable que alguien en la oficina haya enviado explícitamente el puerto TCP 9100 de Internet a la impresora. (De forma predeterminada, debido a que NAT está en uso, el tráfico entrante no tiene a dónde ir a menos que se haga alguna provisión para dirigirlo a algún lado). Para remediar esto, simplemente elimine la regla de reenvío de puertos.

En oficinas más grandes con firewall de ingreso adecuado, generalmente no tendrá reglas de permiso para este puerto en la frontera, excepto quizás para conexiones VPN si necesita que las personas puedan imprimir a través de su VPN.

Para asegurar la impresora / servidor de impresión en sí, use su lista integrada de permiso / lista de control de acceso para especificar el (los) rango (s) de direcciones IP permitidas para imprimir en la impresora, y rechace todas las demás direcciones IP. (El documento vinculado también contiene otras recomendaciones para proteger sus impresoras / servidores de impresión, que también debe evaluar).

Michael Hampton
fuente
16
@ReeceDodds Es solo HP PCL, que prácticamente todos los sistemas operativos tienen controladores ya incluidos, y lo tienen durante más de una década.
Michael Hampton
3
netcatpuede trabajar.
ewwhite
55
O podría haber sido abierto en el enrutador por UPnP. Algo que a menudo está habilitado en muchos enrutadores SOHO. Verifique que esto esté apagado en su enrutador.
Matt
44
Tenías razón sobre el puerto hacia adelante. Tan simple eh! Alguien lo había abierto y dirigido a la impresora; supongo que para una solución de impresión administrada, tal vez los proveedores supervisen. Recientemente han instalado FMAudit. Los otros puertos hacia adelante existentes en el enrutador los configuré hace unos años y están limitados a la IP WAN de la oficina en la que resido. I.imgur.com/DmS6Eqv.png Me puse en contacto con el proveedor para obtener una IP estática. y lo bloqueará solo a esa IP WAN.
Reece
66
Resulta que no fue reenviado por FMaudit. Uno de los miembros del personal tiene un inicio de sesión RDP en un servidor remoto que requiere impresión directa a través del puerto 9100. He configurado una ACL en la impresora y he limitado las IP de WAN que pueden usar la regla de reenvío de puertos. Todavía puede imprimir y ahora no tienen que ir a cazar hombres para averiguar cuál de los cuatro miembros del personal era un neonazi en el armario.
Reece
11

Extender la respuesta de Michael Hampton. Sí, es probable que sea una regla de reenvío de puertos. Pero generalmente eso no es algo que alguien exponga deliberadamente. Sin embargo, puede ser agregado por dispositivos UPnP. Lo más probable es que tenga UPnP habilitado en su enrutador de grado residencial.

Las universidades probablemente tienen sus impresoras pirateadas por otras razones, ya que los enrutadores de grado corporativo generalmente no son compatibles con UPnP y, si lo hicieran, estaría deshabilitado de forma predeterminada. En esas situaciones, las universidades son grandes y tienen muchas IP públicas y redes muy complejas y, a veces, múltiples departamentos de TI con numerosas escuelas secundarias y campus. Y no te olvides de los hackers estudiantes a quienes les gusta hurgar.

Pero, volviendo a mi teoría UPnP, que podría adaptarse a su caso.

Es poco probable que alguien abra deliberadamente el puerto 9100 en su enrutador para permitir que su impresora esté abierta al mundo. No imposible, pero algo improbable.

Aquí hay información sobre el UPnP culpable más probable:

Los investigadores dicen que los defectos de UPnP exponen a decenas de millones de dispositivos en red a ataques remotos

Así es como tuvimos miles de cámaras IP pirateadas a pesar de estar detrás de los enrutadores NAT.

Más información aquí: Explotación del protocolo Universal Plug-n-Play, cámaras de seguridad inseguras e impresoras de red Estos artículos tienen algunos años, pero aún son relevantes. UPnP está simplemente roto y es poco probable que se repare. Deshabilitarlo

La última parte del primer párrafo del segundo artículo realmente lo resume:

Por último, su impresora de red está esperando ser pirateada.

Y, por último, siga los consejos de Michael Hampton y agregue una lista de control de acceso si es posible.

Mate
fuente
¿JetDirect incluso admite UPnP?
Michael Hampton
Solía ​​tener uno que tenía UPnP. Sin embargo, UPnP no es el único defecto. ¡Loca! irongeek.com/i.php?page=security/networkprinterhacking
Matt