Je ne sais pas si cela devrait être demandé ici ou plus sur security.stackexchange.com ...
Pendant le long week-end de Pâques, l'un de nos petits bureaux avait une brèche de réseau: une vieille imprimante HP était utilisée pour imprimer des documents antisémites très choquants. Il semble que cela soit arrivé à plusieurs universités de cultures occidentales du monde entier .
Quoi qu'il en soit ... J'ai lu que c'était en fait un exploit de sécurité assez basique avec la plupart des imprimantes en réseau. Quelque chose à voir avec le port TCP 9100 et l'accès à Internet. Je n'ai pas pu trouver beaucoup d'informations sur les détails de la façon dont tout le monde semble trop préoccupé par le pourquoi.
La configuration du réseau est assez simple pour le bureau concerné. Il dispose de 4 ordinateurs, de 2 imprimantes en réseau, d’un commutateur à 8 ports et d’un modem / routeur résidentiel doté d’une connexion ADSL2 + (avec une adresse IP statique et une jolie configuration vanille).
Le point de faiblesse du modem / routeur ou de l'imprimante est-il?
Je n'ai jamais vraiment considéré une imprimante comme un risque de sécurité devant être configuré. Par conséquent, afin de protéger le réseau de ce bureau, j'aimerais comprendre comment les imprimantes ont été exploitées. Comment puis-je arrêter ou bloquer l'exploit? Et vérifier ou tester l'exploit (ou le bloc correct de l'exploit) dans nos autres bureaux beaucoup plus grands?
Réponses:
Cette attaque a touché les universités de manière disproportionnée car, pour des raisons historiques, de nombreuses universités utilisent des adresses IPv4 publiques pour la plupart ou la totalité de leur réseau et que, pour des raisons académiques, elles ne filtrent que très peu (ou pas!). Ainsi, de nombreux appareils individuels d'un réseau universitaire peuvent être atteints directement de n'importe où sur Internet.
Dans votre cas particulier, dans un petit bureau avec une connexion ADSL, un routeur domestique / SOHO et une adresse IP statique, il est fort probable que quelqu'un du bureau a explicitement transféré le port TCP 9100 d'Internet à l'imprimante. (Par défaut, étant donné que NAT est utilisé, le trafic entrant n'a nulle part où aller, à moins que des dispositions soient prises pour le diriger quelque part.) Pour remédier à cela, il vous suffit de supprimer la règle de transfert de port.
Dans les grands bureaux dotés d’un pare-feu d’entrée adéquat, vous n’avez généralement pas de règles d’autorisation pour ce port à la frontière, sauf peut-être pour les connexions VPN si vous avez besoin que des personnes puissent imprimer sur votre VPN.
Pour sécuriser l'imprimante / le serveur d'impression lui-même, utilisez sa liste de contrôle d'accès / autorisation intégrée intégrée pour spécifier la ou les plages d'adresses IP autorisées à imprimer sur l'imprimante et refuser toutes les autres adresses IP. (Le document lié contient également d'autres recommandations pour la sécurisation de vos imprimantes / serveurs d'impression, que vous devriez également évaluer.)
la source
netcat
peut marcher.Étendre la réponse de Michael Hampton. Oui, c'est probablement une règle de transfert de port. Mais généralement ce n'est pas quelque chose que quelqu'un exposerait délibérément. Cependant, il peut être ajouté par les périphériques UPnP. Très probablement en activant le protocole UPnP sur votre routeur de classe résidentielle.
Les universités ont probablement leurs imprimeurs piratés pour d'autres raisons, car les routeurs de niveau entreprise ne prennent généralement pas en charge le protocole UPnP et s'ils le faisaient, ils seraient désactivés par défaut. Dans ces situations, les universités sont grandes et possèdent de nombreuses adresses IP publiques, des réseaux très complexes et parfois plusieurs départements informatiques avec de nombreuses sous-écoles et campus. Et n'oubliez pas les pirates étudiants qui aiment fouiner.
Mais revenons à ma théorie UPnP qui pourrait convenir à votre cas.
Il est peu probable que quelqu'un ouvre délibérément le port 9100 de votre routeur pour permettre à votre imprimante de s'ouvrir au monde. Pas impossible, mais quelque peu improbable.
Voici quelques informations sur le coupable le plus probable UPnP:
Selon des chercheurs, des failles UPnP exposent des dizaines de millions de périphériques en réseau à des attaques à distance
C'est ainsi que des milliers de caméras IP ont été piratées malgré le fait qu'elles soient derrière des routeurs NAT.
Plus ici: Exploiter le protocole Universal Plug-n-Play, les caméras de sécurité non sécurisées et les imprimantes réseau Ces articles datent de quelques années mais sont toujours d'actualité. UPnP est simplement cassé et peu susceptible d'être réparé. Le désactiver.
La dernière partie du premier paragraphe du deuxième article le résume vraiment:
Enfin, suivez les conseils de Michael Hampton et ajoutez une liste de contrôle d'accès si possible.
la source