近年来,安全研究人员一直警告说,暴露在互联网上但没有足够安全性的设备是一个新的攻击面。黑客可以通过漏洞利用来控制设备,或者直接连接到不需要身份验证的暴露端口。以这种方式受损的设备通常用作恶意软件僵尸网络或作为入侵大型企业网络的发射台。尽管这已成为共识,但仍有大量暴露在互联网上的设备没有足够的安全保护。IPPExposureIPP全称是InternetPrintingProtocol(互联网打印协议),是一种供用户管理联网打印机和向在线打印机发送打印作业的协议。IPP协议与其他打印机管理协议的区别在于IPP更安全,并支持访问控制列表、身份验证和加密通信等高级安全功能。虽然IPP支持这些功能,但并不意味着设备的所有者可以使用这些功能。Shadowserver的安全研究人员扫描了40亿台具有暴露IPP端口的打印机的可路由IPv4地址,发现黑客可以通过Get-Printer-Attributes函数查询本地详细信息。按国家/地区暴露的IPv4地址分布(2020年6月7日)如下所示:研究人员发现平均每天约有80,000台打印机通过IPP端口暴露。这个数字大约是所有联网IPP打印机的1/8。研究人员使用BinaryEdge搜索引擎进行扫描,发现每天可以通过互联网访问的IPP端口(TCP/631)大约有65万到70万个。IPP服务暴露最多的国家每日如下:IPP服务暴露最多的国家(2020年6月7日)IPP端口暴露的安全问题在没有足够安全保护的情况下将IPP端口暴露到Internet会导致许多问题。情报收集。研究人员表示,该端口可用于情报收集。因为大量的IPP联网打印机会返回一些额外的信息,比如打印机名称、位置、型号、固件版本、组织名称,甚至WiFi网络名称。攻击者可以收集这些信息,然后检索一些企业网络信息,为下一次攻击做准备。此外,大约四分之一的IPP联网打印机(20,000)暴露了供应商和型号的详细信息。研究人员说,暴露的信息可以让攻击者轻松定位目标设备、它们的数量和可利用的安全漏洞。IPP攻击工具。网上有很多IPP攻击工具。例如PRET(PrinterExploitationToolkit)就是用来劫持打印机,打印各种宣传信息。此类工具集还可用于其他目的,例如接管易受攻击的设备。研究人员希望通过发布IPP设备报告,进一步减少互联网上暴露的IPP打印机数量,让安全管理员意识到这些设备暴露的潜在风险。安全建议研究人员认为并非所有IPP设备都需要每个人都可以访问。这些IPP设备应包含在防火墙范围内或启用身份验证机制。研究人员建议用户定期更新系统并安装补丁以限制攻击者的攻击面。研究人员建议用户按照打印机的配置手册配置IPP访问控制和身份验证功能。
