隐秘的角落 - 被忽视的弱点

每一次护网,分析流量和日志固然重要,但是谁又能想到在这些日志之外,就在你身处办公室的某个角落,一台不太会关注安全的设备,也会成为被利用的弱点?

这次,笔者主要来说一下几乎每个办公室内都会有,但是很少有人会关注到的网络设备 - 打印机。

提示

部分内容因涉及某单位核心内容,不会提供详细案例,请读者自行结合实际情况进行理解。

为什么是打印机?

一般来说,办公室内会设置一台或多台打印机,为了方便办公室内或跨办公室使用,这些打印机会通过 RJ45 或无线方式连接到内网。考虑到打印机不同批次集采购入的设备有区别,除非是已经有完备的策略接入集中管理,很多时候只会在设置一个 IP 地址,确保可以正常打印后,便不再考虑其他的配置问题。大家只会在发现打印不出东西的时候,想到打印机需要换一下硒鼓了,才会对其投入特别的关注。

很多打印机在常规的 IPP、LPD、AirPrint、Google Cloud Print(Deprecated) 等协议之外,还具有向打印机发送邮件、使用 FTP 上传文件等方式进行打印的功能,其中 FTP 就是一个巨大的弱点。允许匿名登录、自由上传的 FTP 文件服务器,表面上没有太大的问题,顶多是损失点墨水和打印纸。但如果打印机固件存在漏洞,且 FTP 是利用方式之一,打印机就会成为办公室内提供给攻击者的跳板,即便你终端再安全,都能在你的内网里活生生撕开一个口子。

一台可联网的打印机同样具有众多互联网协议

同时,有些单位不注意打印机的管理,放任默认口令甚至空口令的存在,让攻击者可以直接掌控打印机的所有配置。每个人都知道,个人电脑不应该使用弱口令,有些甚至使用强制策略规定密码强度,或使用其他硬件或软件实现 MFA,却忽视了打印机的管理口令。

打印机同样作为内网的一台联网设备,其安全配置同样不应被忽视。

口令安全问题

各个品牌的打印机处理方式不一样,这里将本次处置过的所有打印机的默认登录方式进行整理,读者可自行根据品牌,对照检查是否存在相关问题。

联想 / 兄弟 (Lenovo / Brother)

由于联想的打印机存在一定量的是兄弟打印机的贴牌,故放在一起。

稍微旧一点的设备,默认的登录用户名为 admin,密码为 access

有些设备可能出厂具有一个随机强密码,获取方式是通过操作设备面板,使其打印出打印机配置信息,在第三页配置中可以找到默认口令。该密码强度足够高,可以不用进行更改。

可以通过重置的方法,重新获得对设备的管理。操作因设备不同而不同,请阅读对应的说明书。

惠普 (HP)

稍旧一些的设备,默认的登录用户名为 admin,密码为空。

如无法登录,可通过操作设备面板,使其打印出打印机的网络配置信息,EWS Information 中的 PIN Number 就是登录密码。

可以通过重置的方法,重新获得对设备的管理。操作因设备不同而不同,请阅读对应的说明书。

京瓷 (KYOCERA)

默认用户名和密码均为 Admin,需要注意的是,用户名和密码都是大小写敏感的。

京瓷的不同型号设备具有不同的密码,有些用户名密码均为 180025003000 等,本次处置中并未遇到,以实际情况为准。

部分设备可以通过默认密码在面板打印出其他用户名和密码,如忘记所有密码,可能需要联系京瓷的客户服务中心以寻求帮助。

理光 (RICOH)

理光一般有两个管理员账号,一个是 admin,一个是 supervisor,默认这俩账号的密码都是空。

admin 一般具有设备所有设置的最高管理权限,可以控制设备的所有功能,但不能修改自己的密码;supervisor 用于管理设备的管理员用户,不能修改设备的其他设置,但是可以创建管理员、限制管理员角色、修改管理员账号的密码和自己的账号密码。

依据已有相关实践,如果同时忘记所有管理员的密码,理光的官方给出的唯一解决方案为更换设备主板,根据设备价格,更换费用也有所不同。因此在完成密码修改后,务必妥善保存。

柯尼卡美能达 (KONIKA MINOLTA)

如果没有修改过默认密码,则存在几种情况:00000000000000Sysadm123456781234567812345678

如果忘记密码,可能需要联系柯尼卡美能达的客户服务中心以寻求帮助。

佳能 (Canon)

本次处置并未涉及,但是通过阅读说明书可知,有些型号的设备默认用户名为ADMIN,密码为 7654321canon或设备的序列号。

可以通过重置的方法,重新获得对设备的管理。操作因设备不同而不同,请阅读对应的说明书。

服务的关闭与限制

对于 FTP、SFTP 等服务,除非是有使用需求,不建议开启。

对于 POP3、SMTP 等邮件服务,如需要通过邮件的方式发送打印作业,可保留开启,注意配置服务器时,如条件允许,尽可能使用 SSL/TLS 协议。否则,这些协议可以关闭。

对于 Google Cloud Print 服务,这个业务早已被 Google 官方关闭,可放心关闭。

有些打印机具有更细粒度的设置,建议将可使用的 IP 进行限制,避免内网全公开。

后记

只有处置过一次才知道,同样是连接到网络的设备,安全系数相比计算机低了很多,存在不被重视的安全隐患,部分品牌的默认安全设置更是形同虚设。

在之后的打印机采买和设置中,应当注意对口令的修改、限制可访问的 IP、关闭不用的协议、尽可能限制某些协议的匿名访问、及时更新设备厂商提供的固件,从而不让打印机成为弱点,影响整体的网络安全水平。