原創 | 打印機網絡安全問題概述

【摘要】： 物聯網時代，任何暴露在公開網絡上的設備都會受到***。***者能夠利用漏洞來控制這臺設備，或者若是不須要身份驗證，他們也能夠直接鏈接到暴露的端口。這使得被***的設備經常成爲惡意軟件、僵屍網絡、勒索軟件的幫兇，或者成爲突入大型企業網絡的***入口，甚至成爲隱蔽的後門。打印機正在成爲此類***目標。現在打印機功能豐富，打印、傳真、電子郵件以及無線網絡，這使得它更容易成爲***目標。簡單歸類，打印機的安全問題主要表現爲 直接暴露，致使敏感信息泄露；漏洞頻發，容易成爲網絡***入口；管控不力，造成防護盲區 。 相關***事件表現出了僞造、篡改、信息泄露、拒絕服務、提高權限等常見的威脅和風險。企業/組織網絡內的打印機不只僅是失泄密的重點，並且正逐步變爲網絡失陷的入口和跳板。這並非危言聳聽。

1、打印機主要安全問題

打印機的安全問題由來已久，但更多的關注點是從保密需求出發的防護視角。隨着物聯網的迅猛發展以及打印機功能的豐富，打印機是企業/組織網絡的一類重要聯網終端。做爲網絡安全防護對象的一個關鍵元素，其失管、失控甚至被攻陷、控制的主要問題表現爲以下幾個方面。

1直接暴露，致使敏感信息泄露

在2020年6月早些時候發佈的一份報告中，來自Shadowserver Foundation的安全研究人員警告那些將打印機暴露在網絡上的公司。他們發現平均天天約有80000臺打印機經過IPP端口在線。這一數字約佔目前能聯網的IPP打印機總數的八分之一。使用BinaryEdge搜索引擎進行的常規掃描顯示，天天有65萬到70萬臺設備能夠經過internet訪問其IPP端口(TCP/631)。

在大約80000個公開的服務中，很大一部分會返回額外的打印機屬性信息，好比打印機名稱、位置、型號、固件版本、組織單位，甚至打印機鏈接的WIFI的SSID。用匿名的、可公開查詢的方式獲取暴露打印機設備的廠商名稱、型號和固件版本，顯然會讓***者更容易定位和鎖定容易受到特定漏洞***的設備羣體。這正是***者初始突破所須要的第一手資料。表1爲報告中涉及的按生產廠商對暴露打印機的部分統計。

表1 2020年6月7日返回的前20名打印機廠商和型號信息

2漏洞頻發，容易成爲網絡***入口

查詢美國國家漏洞庫(https://nvd.nist.gov/)近三年來的主要品牌打印機漏洞數量發現，與HP打印機相關的漏洞數量分別爲九、十二、4。與Xerox打印機相關的漏洞數量分別是0、十、11。與利盟（Lexmark）相關的漏洞數量分別是0、1四、12。與理光(Ricoh)相關的漏洞數量分別是十二、1四、9。

圖1 主要品牌打印機漏洞數量對比

研究組織NCC在2019年的DEF CON會議上題爲「爲何你應該懼怕你平凡的辦公室設備」的演講中，紕漏了在惠普(HP)、理光(Ricoh)、施樂(Xerox)、利盟(Lexmark)、京瓷(Kyocera)和Brother生產的6款經常使用企業打印機中的至少35個重大漏洞。

這些漏洞的嚴重程度各不相同，但潛在的影響包括可能致使打印機崩潰的拒絕服務***、監視發送的每一個打印做業以及將打印做業發送給未經受權方。例如，HP生產的一臺打印機受到Internet打印協議(IPP)服務中的多個溢出漏洞的影響，這使得潛在的***者能夠實施拒絕服務(DoS)***，並可能在該設備上執行任意代碼。

打印設備目前已經成爲企業網絡的重要組成部分，應該像我的電腦、共享服務器和數據存儲設備同樣受到保護。但現實狀況偏偏相反。傳統上認爲後門應當是安裝在計算機服務器、臺式機或筆記本電腦上，但研究代表***者能夠在打印機上安裝後門，以在網絡上隱藏本身的持久存在。這對***者來講是一個頗有吸引力的事情。

這裏的問題是，一般的終端設備安裝有反病毒或其餘威脅檢測技術，可能檢測和刪除後門訪問。大多數打印機缺少任何類型的AV和大多數組織可能不監控打印機的日誌。這對可能***網絡並在打印機上安裝後門的***者而言，打印機提供了一個很好的長期後門。

2018年，Check Point推出了「Faxploit」，這是一種經過傳真電話線在多功能打印機上運行任意遠程代碼的方法。他們演示瞭如何使用這些代碼來傳遞二次***並在目標網絡內橫向移動。這種方法適用於繞過防火牆或在未監管的打印機上創建灘頭陣地，從中能夠竊取數據。

3管控不力，造成防護盲區

打印機具有很強大的功能，能夠經過無線網絡鏈接企業網絡，甚至與互聯網進行鏈接，經過各式網絡的鏈接讓你實現遠程操控功能，強大的功能給辦公帶來了方便，但同時也存在很多的安全隱患。目前僅僅從保密安全管理的視角對其進行管控，還缺少視其爲企業網絡內一臺連網的終端的網絡安全管理視角。從保密要求來看，多功能打印機存在的泄密隱患主要表現爲打印數據傳輸泄密（通訊接口、網絡接入、數據傳輸）、耗材（如硒鼓）泄密、存儲器泄密（內存數據、永久存儲器）、供應鏈泄密（固件升級軟件、硬件不可控）、電磁輻射泄密等，除非一些特別重要敏感的場所，可能採起了防範失泄密的打印機管控技術手段。通常的企業/組織對這一風險的認識還很不到位，缺少相應的技術、管理手段，好比可能不會專門配置打印機的安全和隱私相關的設置、不會去審覈打印日誌、不會去按期更新固件、不會去檢測或監測其有無後門或異常，等等。這無形中形成打印機可能長期存在漏洞、安全配置選擇了默認設置、長期存儲打印任務內容等等高風險問題。事實上也形成了對網絡中這一重要終端的長期技術監測、管理手段的缺位，成了企業/組織網絡防護上的一個盲區或死角。

2、打印機***的主要途徑和手段

1***途徑

攻對打印機的***途徑無非就是兩種，一種是經過本地網絡或內部網絡，這是一般的內部***者，它具備物理上訪問打印機的機會和條件。好比它能夠插入存儲卡、U盤等外部介質，連線打印機，改變設置等。因爲打印機在組織內部的共享或共管的屬性，內部惡意***者完成這些物理上的操控，相比控制其它如服務器這類網絡組件要更加容易一些。

另一種是經過外部的網絡鏈接（如網絡訪問和WEB訪問）實施***。這裏有兩種可能，一種是利用開放的服務或暴露於網絡的打印機，好比***打印設置開啓的Web、FTP、SMB、SNMP、LPD、IPP或9100端口打印服務等，對目標打印機創建長期的***鏈接。另一種就是WEB***者，他擁有的資源有限，利用跨站的打印***技術，即對目標網絡內的人員，經過構造「水坑網站」、釣魚郵件或社工方式***，利用XSS等漏洞注入惡意打印腳本，或***內網間接控制打印機。這裏咱們側重描述經過網絡訪問對打印機實施的***活動。

2主要***方法

按照通用的威脅模型，針對打印機的***也無非要達到假裝、篡改、抵賴、信息泄露、拒絕服務、提高權限的目的，相應的***手段也圍繞這個來展開。2017年，德國研究人員公佈了他們的打印機漏洞利用工具包(PRET)，提供了用於***網絡打印機的概念驗證工具。容許從各類設備中竊取潛在的敏感信息，並迫使設備陷入無限循環的拒絕服務***，權限提高或遠程執行代碼。

拒絕服務（DDoS）

經過消耗CPU/內存或帶寬方面的資源，任何網絡資源均可以減慢速度，甚至對合法的終端用戶徹底不可用。對打印機的DDoS***，重點是基於打印做業內容的DoS***。像發送大量打印做業或阻塞傳輸通道(端口9100/tcp)這樣的***暫不討論。

文檔處理。PDL（頁面描述語言）容許無限循環或計算，這須要大量的計算時間，這個功能可能被濫用使打印機的光柵圖像處理器(RIP)持續忙碌。例如PostScript程序或複雜的HP-GL計算。嵌入文檔中的惡意PJL或PostScript命令能夠被用來徹底禁止打印功能。

物理損壞。打印機和其餘嵌入式設備的長期設置存儲在非易失性隨機存取存儲器（NVRAM）中，該存儲器一般以電可擦可編程只讀存儲器（EEPROM）或閃存的形式實現。在早期的HP LaserJets中，「閃存芯片只能維持大約1000-2000個重寫週期」。現在，閃存供應商保證在發生任何寫入錯誤以前能夠進行約100,000次重寫。這個數字聽起來很大，可是PJL和PostScript打印做業自己能夠更改設置，例如默認紙盒介質尺寸甚至口令。故意屢次執行此操做多是一個現實的***情形，致使物理損壞NVRAM。

繞過保護機制

一般，將安全性相當重要的管理功能授予管理員，而且文檔打印可由特定的最終用戶組執行。可是，若是將設備重置爲出廠默認設置或部署後門，則能夠繞過這些安全措施。

恢復出廠默認值。將設備重置爲出廠默認設置是一項對安全性相當重要的功能，由於它會覆蓋諸如用戶設置的口令之類的保護機制。一般能夠經過按打印機控制面板上的特殊組合鍵來完成此操做。可是，並不是老是能夠經過物理方式訪問設備。有趣的是，也能夠經過SNMP、PML和PostScript命令進行重置。

設置後門。繞過打印機設備上的保護機制的另外一種方法是後門。存在一些描述打印機後門的CVE。例如，京瓷3830打印機包含一個後門，容許遠程***者經過以「！R！SIOP0」開頭的字符串讀取和修改配置。三星（和某些DELL）打印機使遠程***者可使用硬編碼的SNMP命令以管理員權限執行操做。即便在受影響的打印機上禁用了SNMP，這也是可能的。

操縱打印機

這種***的目標是使打印機設備感染惡意軟件，從而迫使其在打印時操縱文檔。若是***者能夠更改打印做業，則能夠從根本上更改輸出的打印結果。實質影響取決於打印做業的場景，簡單的惡做劇或嚴重的業務損失均有可能。

內容覆蓋。經過從新定義PostScript操做符來編程，當PostScript文檔調用操做符時，將使用在字典堆棧上找到的第一個版本。一旦從新定義，當合法文檔被打印出來並調用這個操做符時，***者的版本就會被執行，它能夠包含任意要覆蓋的圖形。即便文檔已經經過打印服務器進行了數字簽名和驗證，這種***也會起做用。

內容替換。這種***不只會添加自定義內容，還會解析和替換文檔中的現有內容。替換文本是一種吸引人的功能，由於***者能夠進行有針對性的操做或隨機轉置數字並引入拼寫錯誤，從而爲***者帶來了新的可能性。

信息泄露

這些***試圖訪問打印機的內存和文件系統，或捕獲打印的文檔和憑據。

跨域資源共享欺騙。跨站點打印技術經過在受害者的瀏覽器中加載隱藏的iframe並將HTTP POST請求發送到打印機的端口9100，使網絡***者可以訪問打印機。所以，即便打印機只能在內部網絡中訪問，***者也能夠訪問它。POST數據包含定義打印機執行的PostScript或PJL命令的打印做業。

內存訪問。若是***者得到了訪問打印機內存的權限，他就可以得到敏感數據，如口令或打印的文檔。對內存的寫訪問甚至可能致使代碼執行。研究人員還發現了一種使用PostScript來轉儲某些施樂打印機內存的方法。

文件系統訪問。若是***者得到了文件系統的讀取訪問權限，則能夠潛在地檢索敏感信息，例如配置文件或存儲的打印做業。經過寫訪問操做文件甚至可能致使遠程執行代碼。例如，經過編輯rc腳本或替換要執行的二進制文件。所以，打印機絕對不該容許直接訪問文件系統。

打印任務捕獲。即便***者能夠訪問打印機的文件系統，也沒法恢復獲取打印做業，除非已確認存儲了打印做業。這是由於打印做業一般僅在內存中即時處理，而且永遠不會接觸硬盤。只有極少數打印機（例如HP DesignJet Z6100ps）保留可經過Web服務器訪問的打印文檔的副本。能夠經過打印對話框啓用合法的做業保留。能夠經過控制面板從新打印文檔，但此功能必須由最終用戶顯式激活。使用PostScript，***者能夠中斷服務器上的當前打印做業，甚至能夠訪問後續的做業。若是將PostScript用做打印機驅動程序，則這種功能有可能捕獲全部文檔。

憑證泄露。打印機的安裝與配置一般使用默認的或根本沒有初始口令。在這兩種狀況下，管理員都應主動設置口令以保護設備。研究人員開發了一種從Web服務器系統地收集憑據和其餘有用信息的方法。還有一種稱爲回傳***，它強制MFP設備針對惡意系統而不是預期的服務器進行身份驗證。除了從嵌入式Web服務器泄漏的信息外，打印語言自己還提供了有限的口令保護機制，PJL能夠設置口令來鎖定對打印機硬盤和/或控制面板的訪問。該標準僅容許將範圍從1到65,535的數值用做口令空間，所以事實上形成了蠻力***的可行性。

3、打印機安全態勢發展及安全建議

1將來打印機面臨的主要安全挑戰

隨着物聯網應用加速，將來針對打印機的新型***極可能向勒索、挖礦方向發展。有些可能會借鑑對物聯網（IoT）的***，這些***已大規模破壞了與互聯網鏈接的設備。***者還可能利用這些設備中提供的大量功能對企業網絡或環境形成更進一步的***和破壞。

加密挖礦和勒索：隨着勒索軟件的流行和加密貨幣礦工的流行，***者可能會嘗試感染大量不安全的鏈接網絡的打印機來進行加密貨幣挖礦。名爲Mamba或HDDCryptor的勒索軟件能夠經過服務器消息塊在網絡共享中傳播並關閉打印機。

文檔盜竊：***者能夠專門針對不安全的打印機，組建新的數據竊取僵屍網絡。此類***可能會將惡意軟件植入到打印機中，要麼從中獲取全部打印做業的內容，要麼僅有選擇地獲取包含某些單詞或圖案（例如，社會安全號碼）的打印內容。網絡罪犯組織和國家支持的***者對這樣的***更感興趣。

網絡的初始突破入口：***者能夠將有漏洞的打印機做爲***入口點，一旦進入內部網絡後就能夠採起各類行動，在網絡內橫向移動，隱祕獲取數據，甚至搞些破壞。

修改文檔：***者能夠在文檔打印時對其內容進行修改。例如，若是運輸標籤打印機受到***，則商品可能會從新運送到新的收貨地址，從而實施隱蔽的盜竊。

電子郵件***：假裝成打印機發送的欺詐性電子郵件已經很廣泛，***者能夠經過多功能打印機以合法的內部電子郵件帳戶發送欺詐性消息，以此改進其***效果。這種類型的***可能包括以文檔附件的形式投遞惡意軟件，甚至是商業電子郵件泄露（BEC）欺詐行爲。

突破物理隔離網絡。Red Balloon Security公司曾經演示過經過在無線激光打印機上安裝惡意軟件，以修改電路信號來傳輸無線電信號。這可能使得打印機成爲物理隔離網絡與***者的跳板。

從廣義上講，聯網打印機是物聯網設備在企業和我的辦公環境中無處不在而且威脅相伴而生的又一個生動例子。對多功能打印機的這種潛在安全風險保持的清醒認識，是確保公司網絡安全無死角的要要考量。

2改進打印機安全的建議

使用安全設置。假設網絡打印機開箱就處於不安全狀態。許多打印機在安裝時都使用默認管理員用戶名和口令。在打印機啓用時必須對默認管理帳戶和口令進行修改，並且在新打印機的實用程序設置中很容易實現。將無線打印機鏈接限制爲WPA2加密訪問點。須要登陸憑據才能使用打印功能。

適時更新固件。始終確保打印機使用最新的固件。這就是打印製造商修復已知漏洞的方法。失去更新支持的打印機最容易受到***，由於製造商中止更新固件。

關閉非必要服務和端口。確保關閉容許遠程訪問打印機的未使用或沒必要要的協議。可靠的防火牆或UTM能夠防止來自網絡外部的MIM打印機***者***。在配置網絡時，設置讓打印機僅響應來自網絡交換機或路由器上指定端口的命令。同時注意關閉哪些無用的功能。IPPS協議是在新打印機上進行安全（SSL端口443）打印的標準。消費者和企業級網絡打印機之間的區別是用於監視的軟件。這點可經過檢查HP JetAdvantage安全管理器、Brother設備管理和安全和Lexmark Markvision得證明。

禁用存儲功能。務必牢記打印機會存儲所打印文檔的圖像。配置打印機以清除其內存，或禁用存儲功能。或者可使用打印機實用程序或防火牆設置來設置加密，以保護打印機存儲。

強化管控措施。增強打印機全生命週期的管理。從採購、配置、使用、更新、維護直到報廢，以及耗材的管控，重視供應鏈安全，強化技術措施和管理手段的落實。務必歸入體系化網絡防護體系的保護之下，杜絕成爲管理死角和防範盲區。

【參考文獻】

1.Jens Müller, Vladislav Mladenov, Juraj Somorovsky，SoK: Exploiting Network Printers，Horst Görtz Institute for IT-Security, Ruhr University Bochum，2017

2.https://threatpost.com/office-printers-hackers-open-door/147083/，DEF CON 2019: 35 Bugs in Office Printers Offer Hackers an Open Door

3.https://www.boozallen.com/c/insight/blog/printer-vulnerabilities-leave-companies-at-risk.html

4.https://www.shadowserver.org/news/open-ipp-report-exposed-printer-devices-on-the-internet/，Open IPP Report – Exposed Printer Devices on the Internet

轉載請註明來自：網絡安全應急技術國家工程實驗室