Vận hành máy in mạng, MÁY IN OMG HACKING

0
7

Với sự gia tăng số lượng thiết bị kết nối Internet, không có gì ngạc nhiên khi chúng ta vẫn thấy tin tức là vụ hack máy in lớn mới nhất. Blog này cho bạn biết cách máy in bị tấn công và bạn có thể làm gì để bảo vệ máy in và các thiết bị IoT khác tốt hơn.

Máy in khổng lồ “Hack” trong tin tức

Cuối tuần qua, tin tức về vụ “hack” máy in hàng loạt khiến thông điệp được in trên hàng nghìn máy in trên thế giới. Đây là kết quả của @HackerGiraffe, người dự định sử dụng đây như một cơ hội để nâng cao nhận thức về an toàn máy in. Đây là một cuộc tấn công rất tinh vi (Sarcasm), đòi hỏi một chuỗi sự kiện sau đây mà chỉ những tin tặc máy tính lành nghề nhất mới có thể thực hiện:

  • Nhìn vào Shodan để biết danh sách các máy in có sẵn công khai
  • Viết kịch bản để in thứ gì đó cho họ

Nếu bạn vẫn chưa nhận ra lời châm biếm của tôi, thì đây thực sự không phải là một vụ hack – nó chỉ là việc khai thác một dịch vụ có sẵn công khai và với nó thực hiện chính xác những gì nó dự định làm. Không có khai thác 0 ngày hoặc lỗ hổng thực thi mã từ xa nào trong trò chơi. Trên thực tế, kiểu tấn công này thậm chí còn được cung cấp như một “dịch vụ”.

Tôi đã nói về chủ đề này trong nhiều năm và nhận ra rằng đây là cơ hội tốt để mọi người chia sẻ một số suy nghĩ về sự an toàn của máy in và những gì có thể làm để ngăn chặn điều này xảy ra trong tương lai.

>> Tìm hiểu chi tiết: Cảnh báo doanh nghiệp có thể bị tấn công qua máy in – digitalfuture

Máy in, webcam, công tắc đèn IoT – chúng đều giống nhau

Với sự bùng nổ của Internet kết nối vạn vật, chúng ta đã thấy sự gia tăng đáng kể về số lượng “thứ” được kết nối với Internet. Tất cả các thiết bị này đều có một điểm chung: chúng là thiết bị nhúng. Bất cứ khi nào bạn kết nối bất kỳ thiết bị nào với mạng của mình hoặc Internet, hãy nghĩ về nó giống như một chiếc máy in – nhiều phương pháp tôi sẽ đề cập bên dưới cũng áp dụng cho các thiết bị này.

Nhưng, điều đó nói lên tất cả, máy in đặc biệt xấu xa. Tại sao?

Máy in về cơ bản là một máy chủ khác trên mạng của bạn. Nó cung cấp các dịch vụ mạng khác nhau như máy chủ web, dịch vụ in, SNMP, và trong một số trường hợp, thậm chí cả lưu trữ dữ liệu cục bộ.

Máy sao chép thậm chí còn tệ hơn – trong nhiều trường hợp, chúng giữ bản sao kỹ thuật số của mọi thứ chúng quét hoặc in trên ổ cứng bên trong của chúng. Và đây thường là thứ mà kẻ tấn công có thể truy cập qua mạng hoặc bị bỏ qua khi thiết bị hết tính hữu dụng.

Thông thường, xác thực trên máy in rất hạn chế – giao diện web có thể có thông tin đăng nhập quản trị, nhưng thường thì điều này cũng hoàn toàn bị bỏ qua. Bản thân quyền truy cập thực tế vào máy in hầu như luôn hoàn toàn không giới hạn, cho phép bất kỳ ai có quyền truy cập vào mạng đều có thể in (hoặc truy cập Internet nếu mạng mà máy in được kết nối có thể truy cập công khai).

Điều này rất dễ xảy ra sự cố giống như sự cố được mô tả ở trên, vì hiện nay trên Internet có hàng nghìn máy in trên mạng.

Đây không phải là vấn đề hoàn toàn của máy in

Chúng tôi đã nhận thức được các vấn đề về bảo mật máy in trong nhiều năm: 10 năm trước, với tư cách là một đối thủ cạnh tranh trong khu vực Đông Bắc CCDC, tôi được giao nhiệm vụ xây dựng một máy in mạng với tư cách là một kỹ sư kinh doanh và nhiều nhóm đã may mắn được in hàng trăm trang không mong muốn đội đỏ, thường là nhờ @armitagehacker (tiết lộ đầy đủ – máy in của chúng tôi không được đội đỏ sử dụng thành công trong sự kiện này và tôi đã là “thợ in” kể từ đó).

Nhưng tôi muốn nhấn mạnh rằng đây không chỉ là vấn đề của máy in. Có vẻ như cứ sau vài tháng, một số bài báo mới lại xuất hiện về một số thiết bị nhúng có điều gì đó tồi tệ xảy ra với nó.

Một vài ví dụ:

  • Các webcam được kết nối với Internet:
    – https://www.komando.com/happening-now/497628/9-million-webcams-could-be-hacked
    – https://nakedsecurity.sophos.com/2018/10/11/millions-at-risk-from-default-webcam-passwords/
  • Bộ định tuyến gia đình
    – https://threatpost.com/threatlist-83-of-routers-contain-vulnerable-code/137966/
    – https://graphics.wsj.com/table/ROUTERSTABLE_0116
    – https://www.synopsys.com/blogs/software-security/vulnerable-routers-hackers/
  • Thiết bị IoT
    – https://www.darkreading.com/iot/7-serious-iot-vulnerabilities/d/d-id/1332616
    – https://resources.infosecinsrupt.com/the-top-ten-iot-vulnerabilities/#gref
  • Cảnh sát Dashcams
    – https://www.ajc.com/news/local/atlanta-police-recovered-from-breach-years-dashcam-video-lost/dowuJGBMcW7PLOdK0UhgJJ/
    – https://www.theregister.co.uk/2011/05/03/cop_car_hacking/
  • Ô tô
    – https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
    – https://www.usatoday.com/story/money/2018/01/14/car-hacking-remains-very-real-threat-autos-become-ever-more-loaded-tech/1032951001/

Tôi có thể tiếp tục và tiếp tục và tiếp tục. Ngay cả những bài báo về việc tin tặc sử dụng máy in để đốt cháy văn phòng của bạn cũng đã xuất hiện trước BẢY năm AGO.

Nhưng rõ ràng là chúng ta đã không làm được gì về điều này.

Hãy thử điều này ở nhà (hoặc tại nơi làm việc, tất nhiên là có sự cho phép)

Nếu bạn đang sử dụng mạng có máy in (máy in mà bạn sở hữu hoặc được chủ sở hữu máy in cho phép quét), hãy chạy quét NMAP tiếp theo để xem những gì khả dụng.

Máy in Sudo nmap -sS – T4 -vv -r -sV -0 -n-oA

Máy in của bạn có thể sẽ tạo ra một vài trang ngẫu nhiên và quá trình quét NMAP sẽ xác định danh sách các cổng, có thể bao gồm nhưng không giới hạn ở những trang sau:

  • TCP / 80
  • TCP / 139
  • TCP / 445
  • TCP / 515
  • TCP / 9100

Để in nội dung nào đó nếu có cổng 9100, chỉ cần mở một phiên telnet tới IP của máy in (telnet (địa chỉ ip) 9100) và bắt đầu in. Khi bạn đóng phiên, bất kỳ nội dung nào bạn nhập sẽ được in. Phương pháp này cũng có thể được sử dụng trên một số máy in HP để thay đổi văn bản trên màn hình LCD:

  • https://lifehacker.com/312717/change-the-default-message-on-hp-printers
  • https://jacobsalmela.com/2015/01/07/freak-out-your-friends-by-changed-the-ready-message-on-hp-printers/

Có một cơ hội tốt là nếu bạn có một máy in mạng, bạn có thể dễ dàng thực hiện một trong hai điều này. Nếu máy in mạng này nằm trên một mạng có quyền truy cập internet không giới hạn, rất có thể bất kỳ ai trên thế giới cũng có thể làm được điều này (hoặc bạn có thể là một trong 50.000 mục tiêu sự cố 11/30).

Vậy chúng ta bảo vệ những thiết bị này như thế nào?

Sự cố này, giống như nhiều thứ trong bảo mật, khiến người ta phải quan tâm đến tầm quan trọng của cấu hình phù hợp. Máy in phải được xử lý giống như bất kỳ máy chủ nào khác trên mạng và được định cấu hình phù hợp để ngăn chặn loại sự cố này.

Dưới đây là một số đề xuất của tôi:

Phân khúc máy in.

Việc phân đoạn máy in khỏi phần còn lại của mạng và quản lý in thông qua máy chủ in có một số ưu điểm:

  • Nhiều cuộc tấn công trực tiếp vào máy in sẽ được giảm thiểu đáng kể. Máy chủ in sẽ hoạt động như tường lửa ứng dụng in và nhiều cuộc tấn công lệnh in không hợp lệ / sai sót sẽ không thành công.
  • Điều này cho phép theo dõi tốt hơn và thậm chí xác minh tính xác thực của bản in. Với máy in, cơ chế tách lọc dữ liệu nhạy cảm là một cơ chế khá phổ biến, việc có thể theo dõi điều này là rất quan trọng (đây cũng là một cách dễ dàng hơn để đưa dữ liệu in vào Splunk để theo dõi khi hoàn tất).

Cẩn thận với các dịch vụ mặc định.

Nhiều máy in có rất nhiều giao thức và dịch vụ không cần thiết cho hầu hết các trường hợp sử dụng.

Ghi nhớ các bản sửa lỗi.

Đưa máy in vào chu kỳ sửa chữa. Các bản cập nhật chương trình cơ sở đôi khi được phát hành cho các thiết bị này và thường gặp phải các vấn đề bảo mật nghiêm trọng như cập nhật chương trình cơ sở chưa được ký từ xa.

Thiết lập cấu hình đường cơ sở.

Điều quan trọng là phải thiết lập cấu hình cơ sở cho tất cả các thiết bị mạng, bao gồm cả máy in. Đảm bảo rằng các đường cơ sở này giải quyết các mối quan tâm chung về bảo mật như kiểm soát quyền truy cập vào giao diện quản lý và hạn chế quyền truy cập quản trị. Ví dụ, nhiều máy in cho phép bạn hạn chế quyền truy cập quản lý vào một mạng con cụ thể.

Nếu bạn làm theo các hướng dẫn ở trên và vẫn phân đoạn máy in của mình, hai lớp này có thể làm rất tốt việc giảm bề mặt tấn công có sẵn, ngay cả khi các thiết bị không được bảo mật tốt bằng cách khác.

Không kết nối máy in trực tiếp với Internet.

Điều này không thể được nói, nhưng, rõ ràng, nó phải được nói lại. Không ai có thể truy cập giao diện web của máy in hoặc các cổng in ở nơi công cộng mà không cần xác thực. Nếu người dùng từ xa của bạn phải nhập, vì bất kỳ lý do gì, hãy sử dụng một số loại giải pháp VPN (hoặc một số cách tiếp cận khác mà mọi người trên thế giới không thể sử dụng) để biến điều này thành hiện thực.

Mở rộng điều này cho IoT

Như đã đề cập, máy in không phải là duy nhất khi nói đến các thiết bị nhúng có lo ngại về bảo mật. Với sự bùng nổ của các thiết bị kết nối Internet, những câu hỏi kiểu này sẽ tiếp tục tồn tại. Tuy nhiên, vẫn có một số bước có thể được thực hiện để giảm khả năng các thiết bị này bị sử dụng vào mục đích xấu:

Cung cấp phân đoạn trên các thiết bị nhúng.

Tương tự như trên – tách các thiết bị nhúng khỏi phần còn lại của mạng. Hãy cho rằng chúng không đúng sự thật và bị thỏa hiệp.

Cẩn thận với thông tin đăng nhập và cấu hình mặc định.

Một số trong số này có thể thay đổi, nhưng một số thiết bị sẽ có tài khoản tích hợp mà người dùng cuối không thể tắt được. Trong những trường hợp này, các tùy chọn duy nhất có thể là hạn chế quyền truy cập (hoặc chỉ cần chọn một thiết bị khác).

Hãy nhớ áp dụng các bản cập nhật chương trình cơ sở.

Hãy nhớ áp dụng chúng khi có sẵn. Có nhiều ví dụ về các vấn đề bảo mật nghiêm trọng đã được xác định trong các thiết bị IoT khác nhau đang được giải quyết thông qua các bản cập nhật chương trình cơ sở.

Hãy cẩn thận với sự tiện lợi và an toàn.

Các thiết bị cho phép chúng ta truy cập từ xa vào một thứ gì đó thường có thể hy sinh tính bảo mật vì sự thuận tiện, dễ cài đặt hoặc khả năng sử dụng. Hãy cảnh giác khi cho phép truy cập từ xa và cho rằng bất cứ điều gì bạn có thể làm từ xa cũng là thứ có thể bị lợi dụng bởi người dùng độc hại.

Phần kết luận

Mặc dù bài viết này đã quá hạn lâu nhưng tôi hy vọng nó sẽ giúp gia tăng tầm quan trọng của việc bảo mật máy in (và các thiết bị nhúng / IoT khác). Thật không may, tôi không thấy chủ đề này là một thứ gì đó đã không còn liên quan trong một thời gian dài, nhưng hy vọng chúng ta sẽ thấy ít tin tức về máy in được những người ngẫu nhiên sử dụng vào một thời điểm nào đó trong tương lai.

LEAVE A REPLY

Please enter your comment!
Please enter your name here