打印機威脅：嵌入式Web服務有安全問題

  如今大多數打印機、掃描儀，以及VoIP系統等設備都會內建嵌入式的Web服務，這主要是爲了方便管理。然而不幸的是，這些設備大多會因爲設置問題而處在無保護狀態下。有些服務甚至可使用默認的賬號和密碼訪問，甚至根本沒有作任何保護。更糟的是，錯誤的設置有可能會讓嵌入式Web服務面向外部開放，致使資料外洩。

    以上就是Michael Sutton在「美國黑客年會2011」上所作的簡報內容。他談到了嵌入式Web服務，以及在互聯網上有許多具有可被公開訪問的嵌入式Web服務所帶來的潛在威脅。

    例如，HP掃描儀的Web Scan主要是爲了提供遠程文件掃描功能，這個功能可讓人在遠方那個經過網絡讀取掃描儀內放置的文件。遠程用戶也能夠調整設置，讓掃描過的文件自動傳送到指定地址，或經過互聯網下載最近掃描文件的副本。打印機一樣能夠容許沒有密碼保護的FTP訪問，讓惡意用戶能夠很輕易地將惡意文件儲存到打印機內。最後，Michael還發現了一些VoIP系統處於開放狀態，並展現瞭如何輕鬆地得到電話交談的錄音。

    經過網頁訪問設備

    你也許會認爲，就算有這樣的設備，它們也不會被外部訪問，或者自己數量就不太多。嗯，我本來也是這樣認爲。可是在Michael的簡報過程當中，他經過SHODAN（shodanhq.com）作了一個簡單的網頁表頭掃描，結果顯示在公開網絡上有數以百計的嵌入式Web服務處於開放狀態。

    這很危險，由於大多數人甚至不知道本身的設備上有一個開啓着的Web服務。所以在不知情的情況下，在他們的網絡裏留下了漏洞。此外Michael還在他的白皮書內指出：「普通的弱點掃描對這類風險是不夠的，由於大多數網頁弱點掃描都針對應用服務網頁服務器，而不是嵌入式網頁服務器。嵌入式網頁服務器一般能夠被識別出來，可是會和其餘網頁服務器混雜在一塊兒。所以通常注重XSS或SQL注入攻擊的安全審覈將不會有效果，由於在嵌入式網頁服務器上並無執行基本測試，例如檢查密碼強度或開放有風險的功能等。」

    做爲預防措施，建議用戶檢查可能有嵌入式網頁服務器的網絡設備，並確保不會開放給外部網絡。同時也建議關閉某些具備潛在風險和不須要的功能。最後，必定要更改服務器的默認密碼，由於默認密碼基本上就等於沒有密碼。

    編後語：看到這篇文章的網友、讀者能夠去看看本身公司的打印機、掃描儀是否使用的是默認賬號和密碼，若是是的話，去提醒下單位的系統管理人員吧。