一名安全研究人员告警称攻击者可利用配置不当的企业打印机存储恶意代码并逃避检测。
来自MacKeeper公司的Chris Vickery发现一个配置不当的MacKeeper数据库中包含1300万账户的详情。随后他对打印机进行了分析尤其分析了攻击者如何利用配置不当的设备用于恶意目的,包括存储恶意代码并躲避安全检测。
Vickery表示,有数千个内部存储几个G的办公室打印机处于联网状态。Vickery专注于研究惠普打印机,这些打印机可从9100端口访问并且会为恶意攻击者提供一个匿名FTP服务器。黑客可以利用免费的开源工具将文件上传至惠普打印机并且在端口9100上进行通信。一旦文件被上传,在网址 http://<Printer_IP_Address>/hp/device /<File_Name>上就可访问。
Vickery表示,这就提供了很多种可能性。黑客能将恶意网页和脚本存储在打印机上并将其与潜在受害者联系起来。可能攻击者需要将可执行文件存储在某个地方这样就可通过wget请求获取。这些打印机是非常好的库,攻击者可以将非法资料存储在上面。这些打印机一般一天都处于联网状态。即便是在休眠模式也还是会存储文件。而打印机硬盘驱动的内容很少被检查,因此攻击者的行踪很难被发现。
另外,组织机构都将打印机联网,可能都没有记录系统,这就更加增加了识别攻击的难度。超过2.1万台易受攻击的惠普打印机通过端口9100联网,而这个端口虽然仅限于惠普,但其它品牌也可能易受攻击。
惠普表示意识到了这个问题,因此在2015年9月份发布了新的企业级激光打印机,其中的一个功能是确保设备免受恶意攻击。安全研究人员表示,管理好打印机的配置问题是保证安全打印环境的关键。普通打印机的设置超过250项,而端口和协议可能成为漏洞的来源。惠普建议用户关闭任何不使用的端口和协议,以保护打印机的安全。