作者:天地和兴工业网络安全研究院
【摘要】:物联网时代,任何暴露在公开网络上的设备都会受到攻击。攻击者可以利用漏洞来控制这台设备,或者如果不需要身份验证,他们也可以直接连接到暴露的端口。这使得被入侵的设备常常成为恶意软件、僵尸网络、勒索软件的帮凶,或者成为突入大型企业网络的攻击入口,甚至成为隐蔽的后门。打印机正在成为此类攻击目标。如今打印机功能丰富,打印、传真、电子邮件以及无线网络,这使得它更容易成为攻击目标。简单归类,打印机的安全问题主要表现为直接暴露,导致敏感信息泄露;漏洞频发,容易成为网络攻击入口;管控不力,形成防御盲区。相关攻击事件表现出了伪造、篡改、信息泄露、拒绝服务、提升权限等常见的威胁和风险。企业/组织网络内的打印机不仅仅是失泄密的重点,而且正逐步变为网络失陷的入口和跳板。这并不是危言耸听。
一、打印机主要安全问题
打印机的安全问题由来已久,但更多的关注点是从保密需求出发的防御视角。随着物联网的迅猛发展以及打印机功能的丰富,打印机是企业/组织网络的一类重要联网终端。作为网络安全防御对象的一个关键元素,其失管、失控甚至被攻陷、控制的主要问题表现为如下几个方面。
1直接暴露,导致敏感信息泄露
在2020年6月早些时候发布的一份报告中,来自Shadowserver Foundation的安全研究人员警告那些将打印机暴露在网络上的公司。他们发现平均每天约有80000台打印机通过IPP端口在线。这一数字约占目前能联网的IPP打印机总数的八分之一。使用BinaryEdge搜索引擎进行的常规扫描显示,每天有65万到70万台设备可以通过internet访问其IPP端口(TCP/631)。
在大约80000个公开的服务中,很大一部分会返回额外的打印机属性信息,比如打印机名称、位置、型号、固件版本、组织单位,甚至打印机连接的WIFI的SSID。用匿名的、可公开查询的方式获取暴露打印机设备的厂商名称、型号和固件版本,显然会让攻击者更容易定位和锁定容易受到特定漏洞攻击的设备群体。这正是攻击者初始突破所需要的第一手资料。表1为报告中涉及的按生产厂商对暴露打印机的部分统计。
表1 2020年6月7日返回的前20名打印机厂商和型号信息
2 漏洞频发,容易成为网络攻击入口
查询美国国家漏洞库(https://nvd.nist.gov/)近三年来的主要品牌打印机漏洞数量发现,与HP打印机相关的漏洞数量分别为9、12、4。与Xerox打印机相关的漏洞数量分别是0、10、11。与利盟(Lexmark)相关的漏洞数量分别是0、14、12。与理光(Ricoh)相关的漏洞数量分别是12、14、9。
图1 主要品牌打印机漏洞数量对比
研究组织NCC在2019年的DEF CON会议上题为“为什么你应该害怕你平凡的办公室设备”的演讲中,纰漏了在惠普(HP)、理光(Ricoh)、施乐(Xerox)、利盟(Lexmark)、京瓷(Kyocera)和Brother生产的6款常用企业打印机中的至少35个重大漏洞。
这些漏洞的严重程度各不相同,但潜在的影响包括可能导致打印机崩溃的拒绝服务攻击、监视发送的每个打印作业以及将打印作业发送给未经授权方。例如,HP生产的一台打印机受到Internet打印协议(IPP)服务中的多个溢出漏洞的影响,这使得潜在的攻击者可以实施拒绝服务(DoS)攻击,并可能在该设备上执行任意代码。
打印设备目前已经成为企业网络的重要组成部分,应该像个人电脑、共享服务器和数据存储设备一样受到保护。但现实情况恰恰相反。传统上认为后门应当是安装在计算机服务器、台式机或笔记本电脑上,但研究表明攻击者可以在打印机上安装后门,以在网络上隐藏自己的持久存在。这对攻击者来说是一个很有吸引力的事情。
这里的问题是,通常的终端设备安装有反病毒或其他威胁检测技术,可能检测和删除后门访问。大多数打印机缺乏任何类型的AV和大多数组织可能不监控打印机的日志。这对可能渗透网络并在打印机上安装后门的攻击者而言,打印机提供了一个很好的长期后门。
2018年,Check Point推出了“Faxploit”,这是一种通过传真电话线在多功能打印机上运行任意远程代码的方法。他们演示了如何使用这些代码来传递二次攻击并在目标网络内横向移动。这种方法适用于绕过防火墙或在未监管的打印机上建立滩头阵地,从中可以窃取数据。
3 管控不力,形成防御盲区
打印机具备很强大的功能,可以通过无线网络连接企业网络,甚至与互联网进行连接,通过各式网络的连接让你实现远程操控功能,强大的功能给办公带来了方便,但同时也存在不少的安全隐患。目前仅仅从保密安全管理的视角对其进行管控,还缺乏视其为企业网络内一台连网的终端的网络安全管理视角。从保密要求来看,多功能打印机存在的泄密隐患主要表现为打印数据传输泄密(通信接口、网络接入、数据传输)、耗材(如硒鼓)泄密、存储器泄密(内存数据、永久存储器)、供应链泄密(固件升级软件、硬件不可控)、电磁辐射泄密等,除非一些特别重要敏感的场所,可能采取了防范失泄密的打印机管控技术手段。一般的企业/组织对这一风险的认识还很不到位,缺乏相应的技术、管理手段,比如可能不会专门配置打印机的安全和隐私相关的设置、不会去审核打印日志、不会去定期更新固件、不会去检测或监测其有无后门或异常,等等。这无形中造成打印机可能长期存在漏洞、安全配置选择了默认设置、长期存储打印任务内容等等高风险问题。事实上也造成了对网络中这一重要终端的长期技术监测、管理手段的缺位,成了企业/组织网络防御上的一个盲区或死角。
二、打印机攻击的主要途径和手段
1攻击途径
攻对打印机的攻击途径无非就是两种,一种是通过本地网络或内部网络,这是通常的内部攻击者,它具有物理上访问打印机的机会和条件。比如它可以插入存储卡、U盘等外部介质,连线打印机,改变设置等。由于打印机在组织内部的共享或共管的属性,内部恶意攻击者完成这些物理上的操控,相比控制其它如服务器这类网络组件要更加容易一些。
另外一种是通过外部的网络连接(如网络访问和WEB访问)实施攻击。这里有两种可能,一种是利用开放的服务或暴露于网络的打印机,比如入侵打印设置开启的Web、FTP、SMB、SNMP、LPD、IPP或9100端口打印服务等,对目标打印机建立长期的攻击连接。另外一种就是WEB攻击者,他拥有的资源有限,利用跨站的打印攻击技术,即对目标网络内的人员,通过构造“水坑网站”、钓鱼邮件或社工方式攻击,利用XSS等漏洞注入恶意打印脚本,或渗透内网间接控制打印机。这里我们侧重描述通过网络访问对打印机实施的攻击活动。
2主要攻击方法
按照通用的威胁模型,针对打印机的攻击也无非要达到伪装、篡改、抵赖、信息泄露、拒绝服务、提升权限的目的,相应的攻击手段也围绕这个来展开。2017年,德国研究人员公布了他们的打印机漏洞利用工具包(PRET),提供了用于攻击网络打印机的概念验证工具。允许从各种设备中窃取潜在的敏感信息,并迫使设备陷入无限循环的拒绝服务攻击,权限提升或远程执行代码。
拒绝服务(DDoS)
通过消耗CPU/内存或带宽方面的资源,任何网络资源都可以减慢速度,甚至对合法的终端用户完全不可用。对打印机的DDoS攻击,重点是基于打印作业内容的DoS攻击。像发送大量打印作业或阻塞传输通道(端口9100/tcp)这样的攻击暂不讨论。
文档处理。PDL(页面描述语言)允许无限循环或计算,这需要大量的计算时间,这个功能可能被滥用使打印机的光栅图像处理器(RIP)持续忙碌。例如PostScript程序或复杂的HP-GL计算。嵌入文档中的恶意PJL或PostScript命令可以被用来完全禁止打印功能。
物理损坏。打印机和其他嵌入式设备的长期设置存储在非易失性随机存取存储器(NVRAM)中,该存储器通常以电可擦可编程只读存储器(EEPROM)或闪存的形式实现。在早期的HP LaserJets中,“闪存芯片只能维持大约1000-2000个重写周期”。如今,闪存供应商保证在发生任何写入错误之前可以进行约100,000次重写。这个数字听起来很大,但是PJL和PostScript打印作业本身可以更改设置,例如默认纸盒介质尺寸甚至口令。故意多次执行此操作可能是一个现实的攻击情形,导致物理损坏NVRAM。
绕过保护机制
通常,将安全性至关重要的管理功能授予管理员,并且文档打印可由特定的最终用户组执行。但是,如果将设备重置为出厂默认设置或部署后门,则可以绕过这些安全措施。
恢复出厂默认值。将设备重置为出厂默认设置是一项对安全性至关重要的功能,因为它会覆盖诸如用户设置的口令之类的保护机制。通常可以通过按打印机控制面板上的特殊组合键来完成此操作。但是,并非总是可以通过物理方式访问设备。有趣的是,也可以通过SNMP、PML和PostScript命令进行重置。
设置后门。绕过打印机设备上的保护机制的另一种方法是后门。存在一些描述打印机后门的CVE。例如,京瓷3830打印机包含一个后门,允许远程攻击者通过以“!R!SIOP0”开头的字符串读取和修改配置。三星(和某些DELL)打印机使远程攻击者可以使用硬编码的SNMP命令以管理员权限执行操作。即使在受影响的打印机上禁用了SNMP,这也是可能的。
操纵打印机
这种攻击的目标是使打印机设备感染恶意软件,从而迫使其在打印时操纵文档。如果攻击者可以更改打印作业,则可以从根本上更改输出的打印结果。实质影响取决于打印作业的场景,简单的恶作剧或严重的业务损失均有可能。
内容覆盖。通过重新定义PostScript操作符来编程,当PostScript文档调用操作符时,将使用在字典堆栈上找到的第一个版本。一旦重新定义,当合法文档被打印出来并调用这个操作符时,攻击者的版本就会被执行,它可以包含任意要覆盖的图形。即使文档已经通过打印服务器进行了数字签名和验证,这种攻击也会起作用。
内容替换。这种攻击不仅会添加自定义内容,还会解析和替换文档中的现有内容。替换文本是一种吸引人的功能,因为攻击者可以进行有针对性的操作或随机转置数字并引入拼写错误,从而为攻击者带来了新的可能性。
信息泄露
这些攻击试图访问打印机的内存和文件系统,或捕获打印的文档和凭据。
跨域资源共享欺骗。跨站点打印技术通过在受害者的浏览器中加载隐藏的iframe并将HTTP POST请求发送到打印机的端口9100,使网络攻击者能够访问打印机。因此,即使打印机只能在内部网络中访问,攻击者也可以访问它。POST数据包含定义打印机执行的PostScript或PJL命令的打印作业。
内存访问。如果攻击者获得了访问打印机内存的权限,他就能够获得敏感数据,如口令或打印的文档。对内存的写访问甚至可能导致代码执行。研究人员还发现了一种使用PostScript来转储某些施乐打印机内存的方法。
文件系统访问。如果攻击者获得了文件系统的读取访问权限,则可以潜在地检索敏感信息,例如配置文件或存储的打印作业。通过写访问操作文件甚至可能导致远程执行代码。例如,通过编辑rc脚本或替换要执行的二进制文件。因此,打印机绝对不应允许直接访问文件系统。
打印任务捕获。即使攻击者可以访问打印机的文件系统,也无法恢复获取打印作业,除非已确认存储了打印作业。这是因为打印作业通常仅在内存中即时处理,并且永远不会接触硬盘。只有极少数打印机(例如HP DesignJet Z6100ps)保留可通过Web服务器访问的打印文档的副本。可以通过打印对话框启用合法的作业保留。可以通过控制面板重新打印文档,但此功能必须由最终用户显式激活。使用PostScript,攻击者可以中断服务器上的当前打印作业,甚至可以访问后续的作业。如果将PostScript用作打印机驱动程序,则这种功能有可能捕获所有文档。
凭证泄露。打印机的安装与配置通常使用默认的或根本没有初始口令。在这两种情况下,管理员都应主动设置口令以保护设备。研究人员开发了一种从Web服务器系统地收集凭据和其他有用信息的方法。还有一种称为回传攻击,它强制MFP设备针对恶意系统而不是预期的服务器进行身份验证。除了从嵌入式Web服务器泄漏的信息外,打印语言本身还提供了有限的口令保护机制,PJL可以设置口令来锁定对打印机硬盘和/或控制面板的访问。该标准仅允许将范围从1到65,535的数值用作口令空间,因此事实上造成了蛮力攻击的可行性。
三、打印机安全态势发展及安全建议
1未来打印机面临的主要安全挑战
随着物联网应用加速,未来针对打印机的新型攻击很可能向勒索、挖矿方向发展。有些可能会借鉴对物联网(IoT)的攻击,这些攻击已大规模破坏了与互联网连接的设备。攻击者还可能利用这些设备中提供的大量功能对企业网络或环境造成更进一步的攻击和破坏。
加密挖矿和勒索:随着勒索软件的流行和加密货币矿工的流行,攻击者可能会尝试感染大量不安全的连接网络的打印机来进行加密货币挖矿。名为Mamba或HDDCryptor的勒索软件可以通过服务器消息块在网络共享中传播并关闭打印机。
文档盗窃:攻击者可以专门针对不安全的打印机,组建新的数据窃取僵尸网络。此类攻击可能会将恶意软件植入到打印机中,要么从中获取所有打印作业的内容,要么仅有选择地获取包含某些单词或图案(例如,社会安全号码)的打印内容。网络罪犯组织和国家支持的攻击者对这样的攻击更感兴趣。
网络的初始突破入口:攻击者可以将有漏洞的打印机作为攻击入口点,一旦进入内部网络后就可以采取各种行动,在网络内横向移动,隐秘获取数据,甚至搞些破坏。
修改文档:攻击者可以在文档打印时对其内容进行修改。例如,如果运输标签打印机受到攻击,则商品可能会重新运送到新的收货地址,从而实施隐蔽的盗窃。
电子邮件攻击:伪装成打印机发送的欺诈性电子邮件已经很普遍,攻击者可以通过多功能打印机以合法的内部电子邮件账户发送欺诈性消息,以此改进其攻击效果。这种类型的攻击可能包括以文档附件的形式投递恶意软件,甚至是商业电子邮件泄露(BEC)欺诈行为。
突破物理隔离网络。Red Balloon Security公司曾经演示过通过在无线激光打印机上安装恶意软件,以修改电路信号来传输无线电信号。这可能使得打印机成为物理隔离网络与攻击者的跳板。
从广义上讲,联网打印机是物联网设备在企业和个人办公环境中无处不在并且威胁相伴而生的又一个生动例子。对多功能打印机的这种潜在安全风险保持的清醒认识,是确保公司网络安全无死角的要要考量。
2改进打印机安全的建议
使用安全设置。假设网络打印机开箱就处于不安全状态。许多打印机在安装时都使用默认管理员用户名和口令。在打印机启用时必须对默认管理账户和口令进行修改,而且在新打印机的实用程序设置中很容易实现。将无线打印机连接限制为WPA2加密访问点。需要登录凭据才能使用打印功能。
适时更新固件。始终确保打印机使用最新的固件。这就是打印制造商修复已知漏洞的方法。失去更新支持的打印机最容易受到攻击,因为制造商停止更新固件。
关闭非必要服务和端口。确保关闭允许远程访问打印机的未使用或不必要的协议。可靠的防火墙或UTM可以防止来自网络外部的MIM打印机攻击者入侵。在配置网络时,设置让打印机仅响应来自网络交换机或路由器上指定端口的命令。同时注意关闭哪些无用的功能。IPPS协议是在新打印机上进行安全(SSL端口443)打印的标准。消费者和企业级网络打印机之间的区别是用于监视的软件。这点可通过检查HP JetAdvantage安全管理器、Brother设备管理和安全和Lexmark Markvision得证实。
禁用存储功能。务必牢记打印机会存储所打印文档的图像。配置打印机以清除其内存,或禁用存储功能。或者可以使用打印机实用程序或防火墙设置来设置加密,以保护打印机存储。
强化管控措施。加强打印机全生命周期的管理。从采购、配置、使用、更新、维护直到报废,以及耗材的管控,重视供应链安全,强化技术措施和管理手段的落实。务必纳入体系化网络防御体系的保护之下,杜绝成为管理死角和防范盲区。
【参考文献】
1.Jens Müller, Vladislav Mladenov, Juraj Somorovsky,SoK: Exploiting Network Printers,Horst Görtz Institute for IT-Security, Ruhr University Bochum,2017
2.https://threatpost.com/office-printers-hackers-open-door/147083/,DEF CON 2019: 35 Bugs in Office Printers Offer Hackers an Open Door
3.https://www.boozallen.com/c/insight/blog/printer-vulnerabilities-leave-companies-at-risk.html
4.https://www.shadowserver.org/news/open-ipp-report-exposed-printer-devices-on-the-internet/,Open IPP Report – Exposed Printer Devices on the Internet
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
