Imprimante réseau exploitée (lire: piraté) pour imprimer des documents antisémites. Comment réparer?
Je ne sais pas si cela devrait être demandé ici ou plus sur security.stackexchange.com ...
Au cours du long week-end de Pâques, un de nos petits bureaux a eu une rupture de réseau dans la mesure où une vieille imprimante HP a été utilisée pour imprimer des documents antisémites très offensants. Il semble être arrivé à un certain nombre d'universités dans les cultures occidentales du monde entier .
Quoi qu'il en soit ... J'ai lu que c'est en fait un exploit de sécurité assez basique avec la plupart des imprimantes en réseau. Quelque chose à voir avec TCP port 9100 et accès à Internet. Je n'ai pas pu trouver beaucoup d'informations sur les détails du comment parce que tout le monde semble trop préoccupé par le pourquoi.
La configuration du réseau est assez simple pour le bureau concerné. Il dispose de 4 PC, 2 imprimantes en réseau, un commutateur à 8 ports et un modem/routeur résidentiel exécutant une connexion ADSL2 + (avec IP Internet statique et une jolie configuration Vanilla).
Est-ce le point de faiblesse du modem/routeur ou de l'imprimante?
Je n'ai jamais vraiment considéré une imprimante comme un risque de sécurité qui doit être configuré, donc dans un effort pour protéger le réseau de ce bureau, j'aimerais comprendre comment les imprimantes ont été exploitées. Comment puis-je arrêter ou bloquer l'exploit? Et vérifier ou tester l'exploit (ou le bloc correct de l'exploit) dans nos autres bureaux beaucoup plus grands?
Cette attaque a affecté les universités de manière disproportionnée car, pour des raisons historiques, de nombreuses universités utilisent des adresses IPv4 publiques pour la plupart ou la totalité de leur réseau, et pour des raisons académiques, le filtrage d'entrée (ou de sortie!) Est faible ou inexistant. Ainsi, de nombreux appareils individuels sur un réseau universitaire sont accessibles directement depuis n'importe où sur Internet.
Dans votre cas spécifique, un petit bureau avec une connexion ADSL et un routeur domestique/SOHO et une adresse IP statique, il est très probable que quelqu'un au bureau ait explicitement transféré TCP port 9100 d'Internet à l'imprimante) . (Par défaut, car NAT est en cours d'utilisation, le trafic entrant n'a nulle part où aller sauf si des dispositions sont prises pour le diriger quelque part.) Pour y remédier, vous supprimez simplement la règle de redirection de port.
Dans les bureaux plus grands avec un pare-feu d'entrée approprié, vous n'aurez généralement pas de règles d'autorisation pour ce port à la frontière, sauf peut-être pour les connexions VPN si vous avez besoin de personnes pour pouvoir imprimer sur votre VPN.
Pour sécuriser l'imprimante/le serveur d'impression lui-même, utilisez sa fonction intégrée liste d'autorisation/liste de contrôle d'accès pour spécifier la ou les plages d'adresses IP autorisées à imprimer sur l'imprimante et refuser toutes les autres adresses IP. (Le document lié contient également d'autres recommandations pour sécuriser vos imprimantes/serveurs d'impression, que vous devriez également évaluer.)
Pour prolonger la réponse de Michael Hampton. Oui, c'est probablement une règle de transfert de port. Mais généralement, ce n'est pas quelque chose que quelqu'un exposerait délibérément. Cependant, il peut être ajouté par des périphériques UPnP. Très probablement en activant UPnP sur votre routeur de qualité résidentielle.
Les universités ont probablement leurs imprimantes piratées pour d'autres raisons, car les routeurs de qualité professionnelle ne prennent généralement pas en charge UPnP et s'ils le faisaient, ils seraient désactivés par défaut. Dans ces situations, les universités sont grandes et disposent de nombreuses adresses IP publiques et de réseaux très complexes et parfois de plusieurs départements informatiques avec de nombreuses écoles secondaires et campus. Et n'oubliez pas les hackers étudiants qui aiment fouiner.
Mais revenons à ma théorie UPnP qui pourrait convenir à votre cas.
Il est peu probable que quelqu'un ouvre délibérément le port 9100 sur votre routeur pour permettre à votre imprimante d'être ouverte sur le monde. Pas impossible, mais quelque peu improbable.
Voici quelques informations sur le coupable UPnP le plus probable:
C'est ainsi que des milliers de caméras IP ont été piratées malgré le fait qu'elles soient derrière des routeurs NAT.
Plus ici: Exploiter le protocole Universal Plug-n-Play, les caméras de sécurité et les imprimantes réseau non sécurisées Ces articles datent de quelques années, mais sont toujours d'actualité. UPnP est tout simplement cassé et ne sera probablement pas réparé. Désactivez-le.
La dernière partie du premier paragraphe du deuxième article le résume vraiment:
Enfin, votre imprimante réseau n'attend que d'être piratée.
Et enfin, suivez les conseils de Michael Hampton et ajoutez une liste de contrôle d'accès si possible.