web-dev-qa-db-ja.com

反ユダヤ主義の文書を印刷するために悪用された(読み取り:ハッキングされた)ネットワークプリンター。直し方?

これをここで尋ねるか、それとも security.stackexchange.com ...で尋ねるべきかわかりません。

イースターの長い週末の間、古いHPプリンターが非常に不快な反ユダヤ主義文書を印刷するために使用されたという点で、私たちの小さなオフィスがネットワーク違反をしました。それは 世界中の西洋文化の多くの大学で起こったようです

とにかく...私はそれが実際にほとんどのネットワークプリンターでかなり基本的なセキュリティエクスプロイトであることを読んだ。 TCPポート9100およびインターネットへのアクセスと関係があります。理由は誰もがあまりにも心配しているように思われるため、方法の詳細については多くの情報を見つけることができませんでした。

影響を受けたオフィスのネットワーク設定は非常に簡単です。 4台のPC、2台のネットワークプリンター、8ポートスイッチ、およびADSL2 +接続を実行する住宅用モデム/ルーター(静的インターネットIPとかなりのバニラ構成)を備えています。
モデム/ルーターまたはプリンターの弱点はありますか?

プリンターを構成する必要のあるセキュリティリスクと見なしたことがないので、このオフィスのネットワークを保護するために、プリンターがどのように悪用されたかを理解したいと思います。エクスプロイトを停止またはブロックするにはどうすればよいですか?そして、他のはるかに大きなオフィスでエクスプロイト(またはエクスプロイトの正しいブロック)をチェックまたはテストしますか?

33
Reece

歴史的な理由により、多くの大学がパブリックIPv4アドレスをネットワークの大部分またはすべてに使用しており、学問上の理由でイングレス(またはエグレス)フィルタリングがほとんどまたはまったくないため、この攻撃は不均衡に大学に影響を与えました。したがって、大学のネットワーク上の個々のデバイスの多くは、インターネット上のどこからでも直接アクセスできます。

あなたの特定のケースでは、ADSL接続とホーム/ SOHOルーターと静的IPアドレスを持つ小規模オフィスでは、オフィスの誰かが明示的にインターネットからプリンターにTCPポート9100を転送した可能性があります。 。(デフォルトでは、NATが使用されているため、どこかに転送するように準備されていない限り、着信トラフィックはどこにも行きません。)これを修正するには、ポート転送ルールを削除するだけです。

適切な上りファイアウォールが設定されている大規模なオフィスでは、VPN経由で印刷できるようにする必要がある場合のVPN接続を除いて、通常、境界でこのポートに対する許可ルールはありません。

プリンター/プリントサーバー自体を保護するには、組み込みの 許可リスト/アクセス制御リスト を使用して、プリンターへの印刷を許可するIPアドレスの範囲を指定し、他のすべてのIPアドレスを拒否します。 (リンクされたドキュメントには、プリンター/プリントサーバーをセキュリティで保護するための他の推奨事項も含まれています。これらも評価する必要があります。)

41
Michael Hampton

マイケル・ハンプトンの答えを拡張します。はい、それはおそらくポート転送ルールです。しかし、通常、それは意図的に公開されるものではありません。ただし、UPnPデバイスによって追加できます。ほとんどの場合、住宅用ルーターでUPnPを有効にする必要があります。

企業グレードのルーターは通常UPnPをサポートしていないため、大学はおそらく他の理由でプリンターをハッキングしています。これらの状況では、大学は大きく、多くのパブリックIPと非常に複雑なネットワークがあり、時には多数のサブスクールとキャンパスを持つ複数のIT部門があります。そして、ぶらぶらするのが好きな学生のハッカーを忘れないでください。

しかし、あなたのケースに合うかもしれない私のUPnP理論に戻る。

誰かが意図的にルーターのポート9100を開いて、プリンターを世界中に公開することはありません。不可能ではないが、ありそうもない。

以下は、より可能性の高い犯人のUPnPに関する情報です。

PnPの欠陥により、数千万台のネットワークデバイスがリモート攻撃にさらされると研究者は述べています

これは、NATルーターの背後にあるにもかかわらず、何千ものIPカメラがハッキングされた方法です。

詳細: niversal Plug-n-Playプロトコル、安全でないセキュリティカメラとネットワークプリンターの利用 これらの記事は数年前のものですが、依然として関連しています。 UPnPは単純に壊れており、修正される可能性はほとんどありません。それを無効にします。

2番目の記事の最初の段落の最後の部分は、実際にそれを要約しています。

最後に、ネットワークプリンターはハッキングされるのを待っているだけです。

そして最後に、マイケルハンプトンのアドバイスに従い、可能であればアクセス制御リストを追加します。

11
Matt