80,000打印机在线暴露其IPP端口

作者:安数网络 发布时间:2020-06-24 17:47:20 浏览次数:45

多年以来,安全研究人员一直警告说,每台没有受到防火墙保护的在线设备都是攻击面。

黑客可以部署漏洞强行控制设备,或者在不需要身份验证的情况下,他们可以连接到暴露的端口。

以这种方式被黑客入侵的设备通常被恶意软件束缚在僵尸网络中,或者成为大型企业网络的最初立足点和后门。但是,尽管这是网络安全和IT专家的常识,但我们仍然有大量设备在网上处于不安全状态。

IPP暴露

在发布的一份报告中,Shadowserver Foundation的安全研究人员发布了有关公司将打印机暴露在网上的警告。

更具体地说,Shadowserver专家扫描了所有40亿可路由的IPv4地址,以查找暴露其IPP端口的打印机。

IPP代表“ Internet打印协议 ”,顾名思义,该协议允许用户管理与Internet连接的打印机,并将打印作业发送到在线托管的打印机主机。

IPP与多个其他打印机管理协议之间的区别在于IPP是一种安全协议,它支持高级功能,例如访问控制列表,身份验证和加密通信。但是,这并不意味着设备所有者正在使用这些功能中的任何一个。

Shadowserver专家表示,他们专门扫描了在Internet上具有IPP功能的打印机,这些打印机在没有受到防火墙保护的情况下仍处于暴露状态,并允许攻击者通过“获取打印机属性”功能查询本地详细信息。

专家说,总体而言,他们通常平均每天发现大约有80,000台打印机通过IPP端口在网上被曝光。该数目大约是当前所有在线链接中,支持IPP的打印机的八分之一。使用搜索引擎进行的常规扫描发现,每天可以通过互联网访问的IPP端口(TCP / 631)数量在650,000至700,000之间。

不保护IPP端口的问题

使IPP端口完全在线暴露而没有任何其他保护,例如防火墙或身份验证机制,主要存在以下几个问题。

首先,Shadowserver专家说此端口可用于情报收集。之所以有这种可能,是因为大部分支持IPP的打印机返回了有关其自身的其他信息,例如打印机名称,位置,型号,固件版本,组织名称,甚至WiFi网络名称。

攻击者可以收集这些信息,然后在其中搜索想要的公司数据,将其作为未来攻击的重点对象。此外,在支持IPP的打印机总数的四分之一(约21,000台)中也公开了其品牌和型号等细节。Shadowserver研究人员说,公开这些信息“虽然使攻击者更容易定位和确定易受漏洞攻击的特定设备群体。”但更糟糕的是,用于IPP黑客攻击的工具也可以在线获得。诸如PRET(打印机操作工具包)工具支持IPP黑客攻击,并且过去也曾被用于劫持并强迫打印机给他们打印各种宣传消息。但是,同样的工具箱也可能变得更糟,例如完全接管易受攻击的设备。


来源:zdnet

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用