Saya tidak yakin apakah ini harus ditanyakan di sini atau di security.stackexchange.com ...
Selama akhir pekan panjang Paskah, kantor kecil kami mengalami pelanggaran jaringan karena printer HP lama digunakan untuk mencetak beberapa dokumen antisemit yang sangat ofensif. Ini tampaknya telah terjadi pada sejumlah universitas di budaya Barat di seluruh dunia .
Ngomong-ngomong ... Saya membaca bahwa ini sebenarnya eksploit keamanan yang cukup mendasar dengan sebagian besar printer jaringan. Ada hubungannya dengan port TCP 9100 dan akses ke internet. Saya belum dapat menemukan banyak info tentang spesifikasinya karena semua orang tampaknya terlalu peduli dengan alasannya.
Pengaturan jaringan cukup sederhana untuk kantor yang terpengaruh. Ini memiliki 4 PC, 2 printer jaringan, switch 8-port dan modem / router perumahan yang menjalankan koneksi ADSL2 + (dengan IP internet statis dan konfigurasi vanilla yang cantik).
Apakah titik kelemahan pada modem / router atau printer?
Saya tidak pernah benar-benar menganggap printer sebagai risiko keamanan yang perlu dikonfigurasi, jadi dalam upaya melindungi jaringan kantor ini, saya ingin memahami bagaimana printer dieksploitasi. Bagaimana saya bisa menghentikan atau memblokir eksploit? Dan periksa atau uji untuk exploit (atau blok yang benar dari exploit) di kantor kami yang jauh lebih besar?
Jawaban:
Serangan ini mempengaruhi universitas secara tidak proporsional karena, karena alasan historis, banyak universitas menggunakan alamat IPv4 publik untuk sebagian besar atau semua jaringan mereka, dan untuk alasan akademis memiliki sedikit atau tidak ada penyaringan masuk (atau keluar!). Dengan demikian, banyak perangkat individu di jaringan universitas dapat dihubungi langsung dari mana saja di Internet.
Dalam kasus spesifik Anda, kantor kecil dengan koneksi ADSL dan router rumah / SOHO dan alamat IP statis, kemungkinan besar seseorang di kantor secara eksplisit meneruskan port TCP 9100 dari Internet ke printer. (Secara default, karena NAT sedang digunakan, lalu lintas masuk tidak memiliki tempat lain kecuali beberapa ketentuan dibuat untuk mengarahkannya ke suatu tempat.) Untuk mengatasinya, Anda cukup menghapus aturan port forwarding.
Di kantor yang lebih besar dengan firewall masuk yang tepat, Anda biasanya tidak akan memiliki aturan izin untuk port ini di perbatasan, kecuali mungkin untuk koneksi VPN jika Anda membutuhkan orang-orang untuk dapat mencetak melalui VPN Anda.
Untuk mengamankan printer / server cetak itu sendiri, gunakan daftar izin yang diizinkan / daftar kontrol akses untuk menentukan kisaran alamat IP yang diizinkan untuk mencetak ke printer, dan tolak semua alamat IP lainnya. (Dokumen yang ditautkan juga berisi rekomendasi lain untuk mengamankan printer / server cetak Anda, yang juga harus Anda evaluasi.)
sumber
netcat
bisa bekerja.Untuk memperluas jawaban Michael Hampton. Ya, kemungkinan aturan port forward. Tapi biasanya itu bukan sesuatu yang seseorang akan ungkapkan dengan sengaja. Namun itu dapat ditambahkan oleh perangkat UPnP. Kemungkinan besar dengan mengaktifkan UPnP pada router kelas perumahan Anda.
Universitas mungkin memiliki printer mereka diretas karena alasan lain karena router tingkat perusahaan biasanya tidak mendukung UPnP dan jika mereka melakukannya maka akan dinonaktifkan secara default. Dalam situasi-situasi itu universitas-universitas besar dan memiliki banyak IP publik dan jaringan yang sangat kompleks dan kadang-kadang banyak departemen TI dengan berbagai sub-sekolah dan kampus. Dan jangan lupa para peretas mahasiswa yang suka mengintai.
Tapi, kembali ke teori UPnP saya yang cocok dengan kasus Anda.
Tidak mungkin seseorang dengan sengaja membuka port 9100 pada router Anda untuk memungkinkan printer Anda terbuka bagi dunia. Bukan tidak mungkin, tetapi agak tidak mungkin.
Berikut adalah beberapa info tentang UPnP pelakunya yang lebih mungkin:
Cacat UPnP membuat puluhan juta perangkat jaringan terkena serangan jarak jauh, kata para peneliti
Ini adalah bagaimana kami telah meretas ribuan kamera IP meskipun berada di belakang router NAT.
Lebih lanjut di sini: Memanfaatkan protokol Universal Plug-n-Play, kamera keamanan tidak aman & printer jaringan Artikel ini sudah berumur beberapa tahun, tetapi masih relevan. UPnP benar-benar rusak dan tidak mungkin diperbaiki. Nonaktifkan itu.
Bagian terakhir dari paragraf pertama dalam artikel kedua benar-benar merangkumnya:
Dan terakhir, ikuti saran Michael Hampton dan tambahkan daftar kontrol akses jika memungkinkan.
sumber