Impressora de rede explorada (leia-se: hackeada) para imprimir documentos anti-semitas. Como consertar?

Não tenho certeza se isso deve ser solicitado aqui ou em security.stackexchange.com ...

No fim de semana prolongado da Páscoa, um pequeno escritório nosso teve uma violação de rede, pois uma impressora HP antiga foi usada para imprimir alguns documentos anti-semitas muito ofensivos. Ele parece ter acontecido com um número de universidades em culturas ocidentais em todo o mundo .

Enfim ... eu li que é realmente uma exploração de segurança bastante básica com a maioria das impressoras em rede. Algo a ver com a porta TCP 9100 e acesso à Internet. Não consegui encontrar muita informação sobre os detalhes de como, porque todo mundo parece muito preocupado com o porquê.

A configuração da rede é bastante simples para o escritório que foi afetado. Possui 4 PCs, 2 impressoras em rede, um switch de 8 portas e um modem / roteador residencial executando uma conexão ADSL2 + (com IP estático da Internet e uma configuração bonita de baunilha).
O ponto fraco é o modem / roteador ou a impressora?

Eu realmente nunca considerei uma impressora como um risco de segurança que precisa ser configurado; portanto, em um esforço para proteger a rede deste escritório, gostaria de entender como as impressoras foram exploradas. Como posso parar ou bloquear a exploração? E verificar ou testar a exploração (ou o bloco correto da exploração) em nossos outros escritórios muito maiores?

Esse ataque afetou desproporcionalmente as universidades porque, por razões históricas, muitas universidades usam endereços IPv4 públicos para a maioria ou toda a sua rede e, por razões acadêmicas, têm pouca ou nenhuma filtragem de entrada (ou saída!). Assim, muitos dispositivos individuais em uma rede universitária podem ser acessados ​​diretamente de qualquer lugar na Internet.

No seu caso específico, em um pequeno escritório com uma conexão ADSL e roteador residencial / SOHO e endereço IP estático, é mais provável que alguém no escritório tenha encaminhado explicitamente a porta TCP 9100 da Internet para a impressora. (Por padrão, como o NAT está em uso, o tráfego de entrada não tem para onde ir, a menos que seja feita uma provisão para direcioná-lo a algum lugar.) Para remediar isso, basta remover a regra de encaminhamento de porta.

Em escritórios maiores, com firewall de entrada adequado, geralmente não há regras de permissão para essa porta na fronteira, exceto talvez para conexões VPN, se você precisar que as pessoas possam imprimir na sua VPN.

Para proteger a própria impressora / servidor de impressão, use a lista de permissões / controle de acesso internos para especificar os intervalos de endereços IP permitidos para impressão na impressora e negar todos os outros endereços IP. (O documento vinculado também contém outras recomendações para proteger suas impressoras / servidores de impressão, que você também deve avaliar.)

Para estender a resposta de Michael Hampton. Sim, é provável que seja uma regra de encaminhamento de porta. Mas geralmente isso não é algo que alguém exporia deliberadamente. No entanto, pode ser adicionado por dispositivos UPnP. Provavelmente, com o UPnP ativado no seu roteador de nível residencial.

As universidades provavelmente têm suas impressoras hackeadas por outros motivos, pois os roteadores de nível corporativo geralmente não suportam UPnP e, se o fizessem, seriam desativados por padrão. Nessas situações, as universidades são grandes e têm muitos IPs públicos e redes muito complexas e, às vezes, vários departamentos de TI com várias sub-escolas e campi. E não se esqueça dos hackers de estudantes que gostam de bisbilhotar.

Mas, voltando à minha teoria UPnP que poderia se encaixar no seu caso.

É improvável que alguém abra deliberadamente a porta 9100 no seu roteador para permitir que sua impressora seja aberta para o mundo. Não é impossível, mas um pouco improvável.

Aqui estão algumas informações sobre o UPnP culpado mais provável:

Falhas de UPnP expõem dezenas de milhões de dispositivos em rede a ataques remotos, dizem os pesquisadores

Foi assim que invadimos milhares de câmeras IP, apesar de estarmos atrás de roteadores NAT.

Mais aqui: Exploração do protocolo universal Plug-n-Play, câmeras de segurança inseguras e impressoras de rede Estes artigos têm alguns anos, mas ainda são relevantes. O UPnP está simplesmente quebrado e é improvável que seja corrigido. Desative-o.

A última parte do primeiro parágrafo do segundo artigo realmente resume:

Por fim, sua impressora de rede está apenas esperando para ser invadida.

Por fim, siga os conselhos de Michael Hampton e adicione uma lista de controle de acesso, se possível.