作者/李莉，陳詩洋，楊子羿，付凱(中國信息通信研究院，北京 100191)

　　摘要：隨著物聯(lián)網(wǎng)技術(shù)與協(xié)同辦公技術(shù)的不斷發(fā)展，越來越多的網(wǎng)絡(luò)打印機(jī)被應(yīng)用到公司、政府部門、醫(yī)院、學(xué)校等單位和機(jī)構(gòu)。由于其功能單一性，我們往往忽略其安全性。然而打印設(shè)備往往部署在內(nèi)部網(wǎng)絡(luò)，通過它們可直接訪問內(nèi)部敏感信息。因此打印機(jī)網(wǎng)絡(luò)安全不容忽視。近年來，打印機(jī)安全逐漸被安全界所關(guān)注，有關(guān)網(wǎng)絡(luò)打印機(jī)的安全事件日益增多。本文主要介紹網(wǎng)絡(luò)打印機(jī)存在的安全風(fēng)險(xiǎn)以及常見的攻擊方法，并提出相應(yīng)的防護(hù)建議。

　　關(guān)鍵詞：打印機(jī);安全;網(wǎng)絡(luò)安全

　　0 引言

　　網(wǎng)絡(luò)打印機(jī)是傳統(tǒng)打印機(jī)和互聯(lián)網(wǎng)應(yīng)用的結(jié)合，網(wǎng)絡(luò)打印設(shè)備完美的解決了辦公中存在的互聯(lián)共用問題，滿足了企業(yè)的辦公需求。但因其功能單一，其安全性不如交換機(jī)路由器等其他網(wǎng)絡(luò)設(shè)備一樣受到重視，導(dǎo)致網(wǎng)絡(luò)打印機(jī)存在諸多安全隱患。而且由于打印設(shè)備往往部署在內(nèi)部網(wǎng)絡(luò)，黑客們可以其為跳板，對(duì)內(nèi)網(wǎng)進(jìn)行一系列攻擊。近年來，有關(guān)網(wǎng)絡(luò)打印機(jī)的漏洞披露和攻擊事件日益增多。

　　2012年11月，美國計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)發(fā)布網(wǎng)絡(luò)預(yù)警稱，三星的打印機(jī)(目前看來是所有版本)中存在漏洞，允許攻擊者完全控制設(shè)備^[1]。2013年1月，JetDirect(惠普打印軟件)被Guerrero(西班牙研究人員)發(fā)現(xiàn)存在漏洞，允許入侵者對(duì)存在漏洞的網(wǎng)絡(luò)打印機(jī)進(jìn)行攻擊，造成打印機(jī)拒絕服務(wù)狀態(tài)，部分打印文檔還可以被入侵者直接訪問，而無需通過安全防護(hù)[2]。2016年3月，Andrew Auernheimer(代號(hào)為“Weev”，此前為Goatse安全團(tuán)隊(duì)成員的知名黑客)在其博客上承認(rèn)其入侵了上千臺(tái)網(wǎng)絡(luò)打印機(jī)，并使其打印出帶有種族主義及反猶太人等信息的內(nèi)容^[3]。2016年9月，德國魯爾大學(xué)的安全研究人員對(duì)多種品牌型號(hào)的網(wǎng)絡(luò)打印機(jī)開展了一項(xiàng)深入的安全研究。他們通過對(duì)20種不同品牌型號(hào)的打印機(jī)進(jìn)行測(cè)試后發(fā)現(xiàn)，每一種品牌的打印機(jī)都存在不同程度的攻擊可能性和漏洞^[5]。另外，他們還給出了測(cè)試過程中使用的打印機(jī)入侵利用工具：PRinter Exploitation Toolkit(PRET)^[4]。2017年2月，國外有一個(gè)自稱“stackoverflowin”的黑客入侵了超過15萬臺(tái)打印機(jī)。被入侵的這些打印機(jī)全部都打印出了這名黑客留下的警告信息^[6]。

　　此外，我們根據(jù)CVE(Common Vulnerabilities and Exposures，http://cve.mitre.org/)的數(shù)據(jù)如表1，分析得到各品牌打印機(jī)在1999年至2016年期間披露的各類型漏洞。

　　由以上披露的漏洞以及安全事件可以看出，網(wǎng)絡(luò)打印機(jī)安全現(xiàn)狀不容樂觀。但由于打印機(jī)的特殊性，人們往往不重視其安全性。據(jù)中國電信股份有限公司北京研究院與北京神州綠盟信息安全科技股份有限公司聯(lián)合發(fā)布的《2017年物聯(lián)網(wǎng)安全研究報(bào)告》^[7]可知，全球暴露在互聯(lián)網(wǎng)上的打印機(jī)數(shù)量高達(dá)898173臺(tái)，其中國內(nèi)打印機(jī)的暴露數(shù)量就高達(dá)63495臺(tái)。而且需要注意的是，報(bào)告中所列的打印機(jī)設(shè)備數(shù)量只是通過網(wǎng)絡(luò)空間搜索引擎識(shí)別出的結(jié)果，很多打印機(jī)設(shè)備暴露出來的端口特征不明顯，因此實(shí)際暴露的設(shè)備可能遠(yuǎn)遠(yuǎn)大于統(tǒng)計(jì)結(jié)果。暴露在互聯(lián)網(wǎng)上的打印機(jī)設(shè)備不一定存在安全問題，但存在被攻擊利用的風(fēng)險(xiǎn)。假如這些網(wǎng)絡(luò)打印機(jī)設(shè)備被惡意地利用，很有可能就形成一個(gè)類似于Mirai的僵尸網(wǎng)絡(luò)，后果不堪設(shè)想。因此，網(wǎng)絡(luò)打印機(jī)的安全問題應(yīng)受到用戶與廠商的高度重視。為了提高人們對(duì)網(wǎng)絡(luò)打印機(jī)安全的認(rèn)識(shí)，下面我們將介紹網(wǎng)絡(luò)打印機(jī)現(xiàn)有的安全隱患，常見的攻擊方式，并提出相應(yīng)的防護(hù)措施。

　　1 網(wǎng)絡(luò)打印機(jī)面臨的安全風(fēng)險(xiǎn)

　　基于德國魯爾大學(xué)Jens Müller等人的研究成果^[5]與對(duì)網(wǎng)絡(luò)打印機(jī)CVE統(tǒng)計(jì)數(shù)據(jù)的分析，我們主要從攻擊者類型、漏洞類型以及攻擊手段來介紹網(wǎng)絡(luò)打印機(jī)所面臨的安全風(fēng)險(xiǎn)。

　　網(wǎng)絡(luò)打印機(jī)的潛在攻擊者主要可分為3種。第一種為內(nèi)部攻擊者，此類攻擊者可以在打印機(jī)所在內(nèi)部網(wǎng)絡(luò)潛伏，直接執(zhí)行物理攻擊。主要攻擊手段如下。

　　(1)通過USB外聯(lián)設(shè)備或者內(nèi)存卡把攻擊程序插入到內(nèi)部網(wǎng)絡(luò);

　　(2)直接連接目標(biāo)打印機(jī)，比如通過USB外聯(lián)設(shè)備等方式。

　　(3)更改打印機(jī)設(shè)置或者操作關(guān)鍵鍵位，譬如恢復(fù)出廠設(shè)置等。

　　第二種為網(wǎng)絡(luò)攻擊者，該攻擊者可以遠(yuǎn)程攻擊目標(biāo)打印機(jī)，主要攻擊方法如下。

　　(1)對(duì)打印機(jī)開啟的端口打印服務(wù)攻擊如：SMB、FTP、9100、Web、LPD、IPP或SNMP等。

　　(2)將后門植入到目標(biāo)，以備長期的攻擊。

　　第三種為瀏覽器攻擊者，主要的攻擊手段如下。

　　(1)利用釣魚郵件等方式攻擊目標(biāo)網(wǎng)絡(luò)內(nèi)的工作人員。

　　(2)通過網(wǎng)絡(luò)打印機(jī)存在的漏銅，如XSS等，將惡意打印腳本注入到打印機(jī)。

　　(3)滲透進(jìn)入內(nèi)網(wǎng)，對(duì)打印機(jī)間接控制。

　　基于對(duì)已公布的網(wǎng)絡(luò)打印機(jī)漏洞數(shù)據(jù)整理分析，我們發(fā)現(xiàn)網(wǎng)絡(luò)打印機(jī)的漏洞主要集中在Web應(yīng)用(如存在XSS漏洞，CSRF漏洞等)、網(wǎng)絡(luò)服務(wù)(FTP，Telnet等)與未知或內(nèi)部錯(cuò)誤。表2列出了網(wǎng)絡(luò)打印機(jī)漏洞按風(fēng)險(xiǎn)技術(shù)類型分布情況，其中PostScript是一種與設(shè)備無關(guān)的打印機(jī)語言，PJL則是打印機(jī)作業(yè)語言。

　　此外，針對(duì)近期爆出的打印機(jī)安全事件，我們總結(jié)出幾種現(xiàn)實(shí)中已經(jīng)實(shí)現(xiàn)的攻擊手段。

　　(1)Dos攻擊(拒絕服務(wù)攻擊)：攻擊者可通過幾行簡單的PostScript代碼，就可實(shí)現(xiàn)對(duì)打印機(jī)的DoS攻擊，讓打印機(jī)執(zhí)行一個(gè)無限循環(huán)任務(wù)，直到資源耗盡。

　　(2)打印任務(wù)控制：由于一些PDL語言(打印機(jī)頁面描述語言)支持任意修改操作，所以攻擊者可以進(jìn)行一系列惡意攻擊，如打印內(nèi)容覆蓋，打印內(nèi)容置換等。此外如果打印機(jī)使用PostScript命令，攻擊者可以通過其獲取打印任務(wù)，進(jìn)而獲取敏感信息。

　　(3)信息泄露攻擊：打印機(jī)9100端口打印服務(wù)支持雙向通道，因此可導(dǎo)致打印機(jī)某些敏感信息泄露。此外攻擊者還可通過訪問打印內(nèi)存獲取敏感信息，譬如攻擊者可通過入侵打印機(jī)后訪問內(nèi)存和文件系獲取密碼。

　　(4)遠(yuǎn)程代碼執(zhí)行攻擊(RCE)：由于某些品牌打印機(jī)存在緩沖區(qū)溢出漏洞，如HP系列部分激光打印機(jī)中存在的LPD協(xié)議緩沖區(qū)溢出漏洞，攻擊者可精心構(gòu)造數(shù)據(jù)包，使網(wǎng)絡(luò)打印機(jī)執(zhí)行惡意代碼。此外，攻擊者還可以通過構(gòu)造虛假固件或軟件升級(jí)包令打印機(jī)執(zhí)行惡意代碼。

　　(5)跨站打印(Cross-site printing，XSP)攻擊：攻擊者可通過CORS spoofing(跨源資源共享欺騙)利用Web進(jìn)行XSP攻擊。

　　此外，一個(gè)很常見且最容易實(shí)現(xiàn)的攻擊方法為弱口令攻擊。大多數(shù)打印機(jī)都設(shè)置有初始密碼，但是人們往往未更改此密碼。攻擊者可通過shodan(https://www.shodan.io/)、鐘馗之眼(http://www.zoomeye.org/)等網(wǎng)絡(luò)空間搜索引擎搜到暴露到公網(wǎng)上的打印機(jī)，嘗試進(jìn)行弱口令暴力破解攻擊，從而獲取最高管理員權(quán)限。更有甚者，很多暴露在互聯(lián)網(wǎng)上的網(wǎng)絡(luò)打印機(jī)HTTP服務(wù)沒有啟用認(rèn)證機(jī)制，這就意味著遠(yuǎn)程攻擊者不需要登錄即可進(jìn)入打印機(jī)管理界面。下面我們給出一個(gè)弱口令攻擊實(shí)例。圖1是通過shodan搜索公網(wǎng)上的打印機(jī)，而圖2則是搜索到的一個(gè)存在弱口令的打印機(jī)。我們只需輸入該打印機(jī)設(shè)備出廠默認(rèn)密碼就可以直接得到目標(biāo)打印機(jī)Admin管理員權(quán)限，進(jìn)而可以進(jìn)行查看打印信息、控制打印任務(wù)等惡意行為。

　　另外，我們還可通過德國魯爾大學(xué)研究員開發(fā)的打印機(jī)入侵利用工具PRinter Exploitation Toolkit^[6]對(duì)打印機(jī)進(jìn)行測(cè)試與攻擊。該工具基于python實(shí)現(xiàn)，大大簡化終端攻擊者與目標(biāo)打印機(jī)之間的通信交流。此外，該工具可自動(dòng)化搜尋局域網(wǎng)內(nèi)的網(wǎng)絡(luò)打印機(jī)，實(shí)現(xiàn)自動(dòng)化攻擊。

　　最后為驗(yàn)證PRinter Exploitation Toolkit工具的有效性，我們基于實(shí)驗(yàn)室網(wǎng)絡(luò)打印機(jī)設(shè)備搭建環(huán)境進(jìn)行攻擊測(cè)試實(shí)驗(yàn)。實(shí)驗(yàn)中共使用兩臺(tái)打印機(jī)設(shè)備，型號(hào)分別為HP Color LaserJet CP2025dn與RICON MP 5054。實(shí)驗(yàn)過程可分為簡單兩步：首先將打印機(jī)設(shè)備與測(cè)試PC連接到同一個(gè)局域網(wǎng)內(nèi);然后在測(cè)試PC上使用PRinter Exploitation Toolkit工具，進(jìn)行攻擊測(cè)試。攻擊命令如下：./pret.py 打印機(jī)IP地址 打印機(jī)所使用語言(PS、PJL、PCL)，攻擊效果見圖3與圖4。從圖中，我們可以看到，攻擊者未經(jīng)允許即可連接到網(wǎng)絡(luò)打印機(jī)并可輕易獲取打印機(jī)型號(hào)、版本以及執(zhí)行shell命令等危險(xiǎn)行為。

　　2 防護(hù)建議

　　由《2017年物聯(lián)網(wǎng)安全研究報(bào)告》^[7]可知，只有不到44%的IT經(jīng)理人把打印機(jī)列入了安全策略，與此同時(shí)，也僅有不到50%的使用者會(huì)使用打印機(jī)的“管理密碼”功能，這意味著全球數(shù)以億計(jì)的商務(wù)打印機(jī)中只有不到2%的打印機(jī)是真正安全的。為減少網(wǎng)絡(luò)安全打印機(jī)被攻擊風(fēng)險(xiǎn)，我們從安全配置以及漏洞防御角度針對(duì)2中總結(jié)的網(wǎng)絡(luò)打印機(jī)存在的安全風(fēng)險(xiǎn)與攻擊手段提出以下幾點(diǎn)防護(hù)建議。

　　(1)及時(shí)更改初始默認(rèn)密碼，并及時(shí)刪除多余和過期的賬戶。若使用默認(rèn)賬戶密碼，則可能受到未經(jīng)授權(quán)的用戶訪問，個(gè)人數(shù)據(jù)和機(jī)密信息就有可能被更改或竊取。

　　(2)將打印機(jī)安裝 在設(shè)有防火墻、無線路由器或其他非直連網(wǎng)絡(luò)方式保護(hù)的網(wǎng)絡(luò)上，并建議采用私有IP地址以及互聯(lián)網(wǎng)防火墻安全策略，對(duì)相應(yīng)的網(wǎng)絡(luò)協(xié)議和端口進(jìn)行可訪問限制。若網(wǎng)絡(luò)打印機(jī)直接暴露在公網(wǎng)上，將增大其被攻擊的風(fēng)險(xiǎn)。

　　(3)遵循最小安裝原則，關(guān)閉不必要的端口與服務(wù)，譬如Telnet、FTP等功能，禁用不必要的服務(wù)組件、應(yīng)用插件等，減少被入侵的風(fēng)險(xiǎn)。

　　(4)做好物理隔離，避免未經(jīng)授權(quán)的陌生人直接接觸或使用網(wǎng)絡(luò)打印機(jī)，減少其受到物理攻擊的可能性。

　　(5)在遠(yuǎn)程維護(hù)管理時(shí)，要做好訪問限制，限制用戶登錄IP及訪問權(quán)限，防止用戶訪問配置文件等敏感文件。應(yīng)使用具有加密協(xié)議的登錄控制模塊，如SSH、VPN等，同時(shí)要及時(shí)將多余和過期的遠(yuǎn)程維護(hù)賬戶刪除。

　　(6)要長期的關(guān)注打印機(jī)的固件和軟件的升級(jí)公告，并及時(shí)從官方網(wǎng)站下載相應(yīng)的固件和軟件的安裝包，以防其他渠道的安裝包被惡意篡改過，使得打印機(jī)遭受攻擊。要做好漏洞補(bǔ)丁相關(guān)的維護(hù)工作，這樣才能降低被攻擊的風(fēng)險(xiǎn)。

　　(7)限制用戶連接數(shù)量與任務(wù)數(shù)量，防止受到Dos攻擊(拒絕服務(wù)攻擊)。

　　(8)定期對(duì)打印機(jī)進(jìn)行安全審計(jì)，應(yīng)及時(shí)關(guān)注日志中的審計(jì)分析，對(duì)其中記錄的攻擊事件的危害性進(jìn)行評(píng)估，并采取相應(yīng)的措施來控制。

　　此外，對(duì)網(wǎng)絡(luò)打印機(jī)管理員等相關(guān)人員進(jìn)行安全相關(guān)培訓(xùn)，提高其安全意識(shí)，使其掌握基本的信息安全事件防范技能，盡量減少網(wǎng)絡(luò)打印機(jī)被攻擊的風(fēng)險(xiǎn)以及被攻擊后所造成的損失。

　　3 結(jié)論

　　隨著對(duì)支持移動(dòng)設(shè)備打印的需求越來越大，支持Wi-Fi直連、NFC打印、云打印等移動(dòng)功能的網(wǎng)絡(luò)打印機(jī)逐漸成為人們?nèi)粘Ｉ钷k公中不可缺少的電子設(shè)備。學(xué)校、政府部門、醫(yī)院等各個(gè)單位與機(jī)構(gòu)都會(huì)使用打印機(jī)。通過shodan、鐘馗之眼等網(wǎng)絡(luò)空間搜索引擎簡單搜到暴露到公網(wǎng)上的打印機(jī)就高達(dá)898173臺(tái)。從安全的角度來看，由于打印設(shè)備部署于內(nèi)部網(wǎng)絡(luò)，通過它們可以直接訪問到各種敏感信息，因此其安全性比較重要。但由于其功能特殊性，人們往往忽略其安全性，導(dǎo)致打印機(jī)安全問題頗多，引發(fā)的安全事件也逐漸增多。為提高人們對(duì)網(wǎng)絡(luò)打印機(jī)安全的重視，本文著重介紹了打印機(jī)面臨的主要安全風(fēng)險(xiǎn)，得出其現(xiàn)有安全現(xiàn)狀不容樂觀，并總結(jié)出常見的攻擊方法，最后提出了相對(duì)應(yīng)的防護(hù)建議。本文為以后的打印機(jī)安全研究提供了一定的參考。

　　參考文獻(xiàn)

　　[1]Hihei.三星全系打印機(jī)發(fā)現(xiàn)嚴(yán)重漏洞[EB/OL].freebuf.(2012-11-28)[2018-05-14]. http://www.freebuf.com/news/6330.html.

　　[2]Cs24:惠普打印軟件JetDirect漏洞致多款網(wǎng)絡(luò)打印機(jī)受威脅[EB/OL].freebuf.(2013-01-29)[2018-05-14]. http://www.freebuf.com/articles/system/7115.html.

　　[3]寰者.這名黑客的四行代碼讓數(shù)千臺(tái)打印機(jī)宣傳種族主義[EB/OL].freebuf.(2016-03-30)[2018-05-14]. http://www.freebuf.com/articles/web/100255.html.

　　[4]Bimeover.15萬臺(tái)打印機(jī)被黑，打印出了一堆奇怪的東西[EB/OL].freebuf.(2017-02-09)[2018-05-14]. http://www.freebuf.com/news/126336.html.

　　[5]Müller J,Mladenov V,Somorovsky J,et al.SoK: Exploiting Network Printers[J/OL].2017 IEEE Symposium on Security and Privacy:213-230.(2017-05-22)[2018-05-14]. https://www.ieee-security.org/TC/SP2017/papers/64.pdf.

　　[6]Jensvoid, jurajsomorovsky, AnthonyMastrean, mladevbb: PRET[DB/OL].GitHub.(2017-04-24)[2018-05-14]. https://github.com/RUB-NDS/PRET.

　　[7]薄明霞,唐洪玉,張星,等.2017物聯(lián)網(wǎng)安全研究報(bào)告[EB/OL].(2017-12-12)[2018-05-14]. http://www.nsfocus.com.cn/content/details_62_2646.html

　　作者簡介

　　李莉，工程師，主要研究方向：網(wǎng)絡(luò)設(shè)備安全研究工作。

　　陳詩洋，助理工程師，主要研究方向：互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評(píng)估研究工作。

　　楊子羿，助理工程師，主要研究方向：戰(zhàn)略管理研究與咨詢工作。

　　付凱，助理工程師，主要研究方向：網(wǎng)絡(luò)設(shè)備安全研究工作。

本文來源于科技期刊《電子產(chǎn)品世界》2019年第3期第58頁，歡迎您寫論文時(shí)引用，并注明出處