欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

没有安全防护的打印机为攻击者打开了大门

admin2020-06-2631新闻

近年来,安全研究人员一直警告说暴露在互联网上而没有足够的安全防护的设备是一个新的攻击面。黑客可以通过漏洞利用来控制设备,也可以直接连接到那些无需认证的暴露的端口。

通过这种方式被黑的设备一般会成为恶意软件僵尸网络,或作为入侵更大的企业网络的跳板。尽管这已成为一种共识,仍然有大量的设备暴露在互联网且没有足够的安全防护。

IPP暴露

IPP表示Internet Printing Protocol(互联网打印协议),是用户管理联网的打印机和发送打印作业到在线打印机的协议。IPP协议与其他打印机管理协议不同的是IPP更加安全,支持访问控制列表、认证和加密通信这样的高级安全特征。虽然IPP支持这些特征,但并不表示设备的所有者可以使用这些特征。

Shadowserver的安全研究人员扫描了40亿暴露了IPP端口的打印机的可路由的IPv4 地址,发现黑客可以通过 Get-Printer-Attributes 函数来查询本地详情。暴露的IPv4地址(2020年6月7日)按国家分布情况如下所示:


研究人员发现平均每天通过IPP 端口暴露的打印机有约8万台。这个数字大约是所有联网的IPP 打印机的1/8,研究人员用BinaryEdge 搜索引擎扫描发现每天通过互联网可以访问的IPP 端口(TCP/631)大约在65万到70万之间。每日暴露IPP服务最多的国家如下所示:


暴露IPP服务最多的国家(2020年6月7日)

IPP 端口暴露的安全问题

将IPP端口暴露在互联网而没有足够的安全防护会导致许多问题

情报收集。研究人员称该端口可以被用于情报收集。因为大量的IPP联网打印机会返回一些额外的信息,比如打印机名、位置、型号、固件版本、组织名、甚至WiFi网络名。攻击者可以收集这些信息,然后检索一些企业网络的信息,为下一步攻击做好准备。

此外,大约1/4 的IPP 联网打印机(2万台)暴露了厂商和型号的详细信息。研究人员称这些暴露的信息可以使攻击者很容易地定位目标设备的位置、数量,以及可利用的安全漏洞。

IPP 攻击工具。互联网上有很多的IPP 攻击工具。比如PRET (Printer Exploitation Toolkit) 就被用于劫持打印机和打印不同种类的宣传信息。这样的工具集还可以用作其他目的,比如接管有漏洞的设备。

研究人员希望通过发布的IPP 设备报告可以让互联网上暴露的IPP 打印机的数量进一步减少,让安全管理员意识到暴露这些设备所带来的潜在风险。

安全建议

研究人员认为并不是所有的IPP 设备都需要对所有人开通访问权限。这些IPP 设备应纳入防火墙的范围内或启用认证机制。

研究人员建议用户要定期更新系统和安装补丁来限制攻击者的攻击面。

研究人员建议用户根据打印机的配置手册来配置IPP 访问控制和认证特征。

完整报告参见:https://www.shadowserver.org/news/open-ipp-report-exposed-printer-devices-on-the-internet/


本文翻译自:https://www.zdnet.com/article/80000-printers-are-exposing-their-ipp-port-online/

深入分析新出现的Team9恶意软件

在2020年4月下旬公开发现的Team9恶意软件家族(也称为“Bazar [1]”)似乎是由Trickbot背后的团队开发的一种新恶意软件。尽管该恶意软件的开发才刚刚开始,但开发人员已经开发了两个具有丰富功能的组件。这篇文章的目的是描述两个组件的功能,即加载器和后门。 RIFT利用研究人员的战略分析,数据科学和威胁搜寻功能来创建可行的威胁情报,从IOC,检测规则到关于未来威胁情况的战略报告。网络安全是一场军备竞赛,攻击者和防御者都不断更新和改进其工具和工作方式。为了确保托管服务对最新威胁具有预警作用,NCC Group运营了一个以Fox-IT为核心的全球融合中心。这个多学科团队将研究人员领先的网络威胁情报转化为强大的检测策略。 Team9装载机的早期变体 研究人员估计这是Team9加载程序(35B3FE2331A4A7D83D203E75ECE51

网友评论