多年以來，每臺沒有受到防火牆保護的在線設備都是攻擊面。

黑客可以部署漏洞以強行控制系統，或者他們可以在不需要身份驗證的情況下簡單地連接到暴露的端口。

以這種方式被黑客入侵的設備有時會被惡意軟件束縛在殭屍網絡中，或者充當大型企業網絡的最初立足點和後門。

儘管這是網絡安全和IT專家的常識，但我們仍然有大量不安全的設備暴露在網上。

在本月初發布的一份報告中，致力於改善全球網絡安全實踐的非營利組織 ShadowserverFoundation 的安全研究人員發佈了有關公司將打印機暴露在網上的警告。

Shadowserver 專家掃描了所有 40 億可路由的 IPv地址，以查找暴露其 IPP 端口的打印機。

IPP代表“互聯網打印協議”，顧名思義，該協議允許用戶管理與Internet連接的打印機，並將打印機作業發送到在線主機打印機。

IPP與許多其他打印機管理協議之間的區別在於IPP是一種安全協議，它支持高級功能，例如訪問控制列表，身份驗證和加密通信，然而，這並不意味着設備所有者正在使用這些功能。

Shadowserver專家表示，他們專門掃描了Internet上具有IPP功能的打印機，這些打印機在沒有受到防火牆保護的情況下仍處於暴露狀態，並允許攻擊者通過“獲取打印機屬性”功能查詢本地詳細信息。

使用搜索引擎BinaryEdge進行的正常掃描顯示， 平均每天通過IPP端口發現大約80,000臺打印機，而這些打印機每天都會在網上曝光。 

IPP端口 曝光 而沒有任何其他安全保護（例如防火牆或身份驗證機制）會導致很多問題。

例如，Shadowserver的專家表示此端口可用於收集情報：因爲支持IPP的打印機中有很大一部分（例如打印機名稱，位置，型號，固件版本，組織名稱甚至WiFi網絡名稱）返回了有關其自身的其他信息，攻擊者可以收集此信息，然後通過該信息檢查公司網絡，以便於將來的攻擊。

此外，其中支持IPP的打印機的四分之一（約21,000臺）也透露了其設計和製造的細節，公開這些信息顯然使攻擊者更容易找到特定漏洞的設備羣體。

糟糕的是，IPP黑客工具也可以在線獲得。 諸如PRET（打印機操作工具包）支持IPP黑客攻擊，並且過去曾被用於劫持和強迫打印機打印各種宣傳消息。

甚至可能會變得更 糟糕 ，比如完全接管易受攻擊的設備。

Shadowserver 基金會表示，計劃將來在其網站上發佈每日IPP暴露報告。

“我們希望在我們的新開放空間中共享IPP設備 數據 報告，這將減少啓用IPP的裸露打印機的數量，並提高人們對將這種設備暴露給未經身份驗證的掃描儀/攻擊者的危險的認識。”

訂閱組織安全警報的公司或國家CERT團隊將在國家/地區的網絡和IP地址空間中在線公開任何IPP服務時收到自動通知。

Shadowserver基金會針對處理暴露於互聯網的設備提供的前瞻性建議與去年的學術研究結果一致，該研究發現DDoS刪除通常無效，執法部門應將重點放在修補系統上，以限制攻擊者。

同時建議用戶閱讀打印機的手冊，以配置IPP訪問控制和IPP身份驗證功能， 在 打印機 尚未被利用的情況下做好保護， 管理面板中的大多數打印機都有IPP配置部分，用戶可以從中啓用身份驗證，加密並通過訪問列表限制對設備的訪問。

參考鏈接

https://securityaffairs.co/wordpress/105120/hacking/80000-printers-exposed-online-ipp.html

*本文作者:日影飛趣，轉載請註明來自FreeBuf.COM