物联网时代打印机安全风险：漏洞频发、信息泄露与防御盲区解析

ig281

物联网时代，公开网络上的设备都会面临攻击。攻击者能利用漏洞控制设备，若无需身份验证，还可直接连接暴露端口。这导致被入侵设备常成为恶意软件等的帮凶，或是大型企业网络的攻击入口，甚至是隐蔽后门。打印机正成为此类攻击目标。如今打印机具备丰富功能，包括打印、传真、电子邮件以及无线网络等。这就使得打印机更容易成为攻击的目标。简单进行归类，打印机的安全问题主要有以下表现：一是直接暴露，会导致敏感信息泄露；二是漏洞频发，容易成为网络攻击的入口；三是管控不力，会形成防御盲区。相关攻击事件展现出了伪造、篡改、信息泄露、拒绝服务、提升权限等常见的威胁和风险。企业/组织网络内的打印机是失泄密的重点，并且正逐渐成为网络失陷的入口与跳板，这并非是夸大其词。

一、打印机主要安全问题

打印机的安全问题存在已久，然而，更多的关注焦点是从保密需求出发的防御角度。随着物联网的快速发展以及打印机功能的增多，打印机成为企业/组织网络中的一类重要联网终端。作为网络安全防御对象的关键要素之一，其失管、失控以及被攻陷、被控制等主要问题体现在以下几个方面。

1直接暴露，导致敏感信息泄露

在 2020 年 6 月的较早时候，有一份报告发布了。这份报告是由来自某地方的安全研究人员发布的。他们警告那些将打印机暴露在网络上的公司。他们发现每天大约有 80000 台打印机通过 IPP 端口处于在线状态。这个数字约占目前能够联网的 IPP 打印机总数的八分之一。常规扫描显示，使用搜索引擎进行扫描。每天有 65 万到 70 万台设备。这些设备能够通过访问其 IPP 端口（TCP/631）。

大约有 80000 个公开的服务，其中很大一部分会返回额外的打印机属性信息。这些信息包括打印机名称、位置、型号、固件版本、组织单位，甚至还有打印机连接的 WIFI 的 SSID。通过匿名的、可公开查询的方式，能够获取到暴露打印机设备的厂商名称、型号和固件版本。这样显然会使攻击者更易于定位和锁定容易受到特定漏洞攻击的设备群体。这是攻击者初始突破所需要的第一手资料。报告中涉及按生产厂商对暴露打印机的部分统计，具体如表 1 所示。

表1 2020年6月7日返回的前20名打印机厂商和型号信息

2漏洞频发，容易成为网络攻击入口

查询美国国家漏洞库近三年来的主要品牌打印机漏洞数量可得，HP 打印机相关的漏洞数量依次为 9 个、12 个、4 个。Xerox 打印机相关的漏洞数量分别是 0 个、10 个、11 个。利盟相关的漏洞数量分别是 0 个、14 个、12 个。理光(Ricoh)相关的漏洞数量分别为 12 个、14 个、9 个。

图1 主要品牌打印机漏洞数量对比

其中至少有 35 个重大漏洞。

这些漏洞的严重程度存在差异，潜在影响有多种。可能会引发打印机崩溃的拒绝服务攻击，能够监视发送的每一个打印作业，还会把打印作业发送给未经授权的一方。比如，HP 生产的某台打印机受到打印协议（IPP）服务中多个溢出漏洞的影响，这就使得潜在的攻击者可以实施拒绝服务（DoS）攻击，并且有可能在该设备上执行任意代码。

打印设备现已成为企业网络的重要构成部分，应如同个人电脑、共享服务器和数据存储设备那般受到保护。然而，实际情况与之相悖。传统观念认为后门应安装在计算机服务器、台式机或笔记本电脑上，然而研究显示，攻击者能够在打印机上安装后门，从而在网络中隐藏自身的长久存在。这对攻击者而言是极具吸引力的事。

这里存在的问题是，一般的终端设备安装了反病毒或其他威胁检测技术，这些技术有可能检测到并删除后门访问。大多数打印机都没有任何类型的 AV，并且大多数组织可能不会对打印机的日志进行监控。对于那些有可能渗透网络并在打印机上安装后门的攻击者来说，打印机提供了一个非常好的长期后门。

2018 年，Check Point 推出了一项内容。这是一种利用传真电话线在多功能打印机上运行任意远程代码的方式。他们展示了怎样运用这些代码去传递二次攻击并且在目标网络内进行横向移动。这种方法能够用于绕过防火墙或者在未受监管的打印机上构建起一个起始点，从这里可以窃取数据。

3管控不力，形成防御盲区

打印机功能强大。它能通过无线网络连接企业网络，还能与互联网相连。借助各种网络的连接，可实现远程操控功能。强大的功能给办公带来便利，但也存在不少安全隐患。目前只是从保密安全管理的角度对其进行管控，却缺乏将其视为企业网络内一台连网终端的网络安全管理视角。从保密要求方面来讲，多功能打印机存在的泄密隐患主要有以下几种表现。其一，打印数据传输过程中会出现泄密情况，包括通信接口、网络接入以及数据传输等方面；其二，耗材方面，像硒鼓等可能会导致泄密；其三，存储器方面，内存数据以及永久存储器都存在泄密风险；其四，供应链方面，固件升级软件以及硬件不可控等情况会引发泄密；最后，还有电磁辐射泄密等情况。除非是一些特别重要敏感的场所，这些场所可能会采取防范失泄密的打印机管控技术手段。一般的企业或组织对这一风险的认识不够到位，它们缺乏相应的技术和管理手段。例如，它们可能不会专门为打印机配置安全和隐私相关的设置，不会去审核打印日志，不会定期更新固件，也不会检测或监测打印机是否存在后门或异常等情况。这些行为无形中导致打印机可能长期存在漏洞，安全配置被选择为默认设置，并且长期存储打印任务内容等高风险问题。实际上导致了对网络中这一重要终端长期缺乏技术监测和管理手段，成为了企业/组织网络防御方面的一个盲区或死角。

二、打印机攻击的主要途径和手段

1攻击途径

攻打印机的攻击途径有两种。一种是通过本地网络或内部网络，通常是内部攻击者，这类攻击者有物理上访问打印机的机会和条件。例如，他们可以插入存储卡、U盘等外部介质，连接打印机，改变设置等。打印机在组织内部具有共享或共管的属性。内部恶意攻击者进行这些物理上的操控，比控制其他如服务器这类网络组件要更加容易一些。

另外一种是借助外部的网络连接来实施攻击，像网络访问和 WEB 访问等。这里存在两种情况，一种是运用开放的服务或者暴露在网络中的打印机，例如入侵那些打印设置开启的 Web、FTP、SMB、SNMP、LPD、IPP 或 9100 端口的打印服务等，从而对目标打印机构建起长期的攻击连接。另外一种是 WEB 攻击者，他所拥有的资源较为有限。他会利用跨站的打印攻击技术，也就是针对目标网络内的人员，通过构建“水坑网站”，发送钓鱼邮件或者采用社工方式进行攻击。利用 XSS 等漏洞来注入恶意打印脚本，或者渗透内网从而间接控制打印机。在这里，我们主要侧重于描述通过网络访问来对打印机实施的攻击活动。

2主要攻击方法

通用的威胁模型表明，针对打印机的攻击目的无非是伪装、篡改、抵赖、信息泄露、拒绝服务以及提升权限等。相应地，攻击手段也围绕这些目的来展开。2017 年，德国研究人员公布了他们的打印机漏洞利用工具包（PRET），此工具包提供了用于攻击网络打印机的概念验证工具。可以从多种设备窃取潜在的敏感信息，还能迫使设备陷入拒绝服务攻击的无限循环，实现权限提升或远程执行代码。

拒绝服务（DDoS）

任何网络资源都能够通过消耗 CPU/内存或带宽方面的资源来减慢速度，甚至会对合法的终端用户完全不可用。在网络攻击中，对打印机的 DDoS 攻击，其重点在于基于打印作业内容的 DoS 攻击。而像发送大量打印作业或者阻塞传输通道（端口 9100/tcp）这类攻击暂不进行讨论。

文档处理方面，PDL（页面描述语言）具备允许无限循环或计算的特性，此特性会耗费大量计算时间，并且该功能有可能被滥用，从而导致打印机的光栅图像处理器（RIP）一直处于忙碌状态。例如在程序中或进行复杂的 HP-GL 计算时。而嵌入文档中的恶意 PJL 或命令则可以被用来完全禁止打印功能。

物理损坏与上述内容无关，未在改写内容中体现。这个数字听起来很大。然而，PJL 以及打印作业本身能够更改设置，像默认纸盒介质尺寸以及口令等。如果故意多次执行这样的操作，就可能会出现一种现实的攻击情形，进而导致物理损坏 NVRAM。

绕过保护机制

通常，管理功能的安全性至关重要，这些功能会被授予管理员。特定的最终用户组可以执行文档打印。然而，如果将设备重置为出厂默认设置，或者部署后门，那么这些安全措施就可以被绕过。

设备可以恢复出厂默认值。将设备重置为出厂默认设置这一功能对安全性至关重要，因为它会覆盖像用户设置的口令这类的保护机制。通常能够通过按打印机控制面板上的特殊组合键来实现此操作。然而，并非一直都能通过物理方式接触到设备。有意思的是，还可以借助 SNMP、PML 和命令来进行重置。

存在一种绕过打印机设备上保护机制的方法，即设置后门。有一些描述打印机后门的 CVE。比如，京瓷 3830 打印机带有一个后门，能让远程攻击者通过以“！R！SIOP0”开头的字符串来读取和修改配置。三星（以及某些戴尔）打印机使得远程攻击者可以利用硬编码的 SNMP 命令以管理员权限执行操作。即使在受影响的打印机上禁用了SNMP，这也是可能的。

操纵打印机

这种攻击的目标是让打印机设备染上恶意软件，进而迫使它在打印时对文档进行操纵。倘若攻击者能够更改打印作业，那么就能够从根本上改变输出的打印结果。其实际产生的影响取决于打印作业的场景，有可能只是简单的恶作剧，也有可能导致严重的业务损失。

通过重新定义操作符来编程，在文档调用操作符时，会使用字典堆栈上找到的第一个版本。一旦重新定义后，合法文档被打印出来并调用此操作符时，攻击者的版本就会被执行，其可包含任意要覆盖的图形。即便文档已通过打印服务器进行了数字签名和验证，这种攻击仍会起作用。

这种攻击会进行两方面操作，一是添加自定义内容，二是解析并替换文档中的现有内容。替换文本具有吸引力，因为攻击者能进行有针对性的操作，或者随机转置数字并引入拼写错误，进而为攻击者带来新的可能性。

信息泄露

这些攻击想要去访问打印机的内存以及文件系统，另外还想要捕获打印出来的文档以及凭据。

跨域资源共享存在欺骗情况。跨站点打印技术是这样运作的：在受害者的浏览器里加载隐藏内容，然后将 HTTP POST 请求发送到打印机的端口 9100，这样网络攻击者就能访问打印机了。所以，即便打印机只能在内部网络中被访问，攻击者依然可以对其进行访问。POST 数据中包含着定义打印机执行的或 PJL 命令的打印作业。

内存可以被访问。若攻击者获取了访问打印机内存的权限，那么他就有能力获取到敏感数据，像口令或者打印的文档之类的。对内存进行写访问的话，还有可能引发代码执行。研究人员也发现了一种利用来转储某些施乐打印机内存的办法。

文件系统可以被访问。若攻击者获取了文件系统的读取权限，那么就有可能检索到敏感信息，像配置文件或者存储的打印作业等。利用写访问权限去操作文件，甚至有可能引发远程执行代码的情况。比如，通过对 rc 脚本进行编辑或者替换要执行的二进制文件等。所以，绝对不应该让打印机直接访问文件系统。

打印任务能够被捕获。若攻击者能够接触到打印机的文件系统，然而却无法恢复并获取打印作业，除非已经确认存储了打印作业。这是因为打印作业一般只是在内存中进行即时处理，并且绝对不会接触到硬盘。仅有极少数的打印机（例如 HP ）会保留能够通过 Web 服务器访问的打印文档的副本。合法的作业保留可以通过打印对话框来启用。可以通过控制面板来重新打印文档，不过此功能得由最终用户明确激活。利用这一点，攻击者能够中断服务器上正在进行的打印作业，甚至还可以接触到后续的作业。要是将其用作打印机驱动程序，这种功能就有可能把所有文档都捕获到。

凭证出现泄露情况。打印机在安装与配置时，通常会采用默认的设置，或者根本就没有初始口令。在这两种情形下，管理员都应当主动去设置口令，以此来保护设备。研究人员研制出了一种能够从 Web 服务器中系统地收集凭据以及其他有用信息的方法。另外，还有一种被称作回传攻击的方式，它会强制 MFP 设备针对恶意系统进行身份验证，而不是针对预期的服务器。除了嵌入式 Web 服务器泄漏的信息之外，打印语言自身具备有限的口令保护机制。PJL 能够设置口令，以锁定对打印机硬盘以及/或者控制面板的访问。该标准只允许将 1 到 65535 范围内的数值当作口令空间使用。所以实际上导致了蛮力攻击具备可行性。

三、打印机安全态势发展及安全建议

1未来打印机面临的主要安全挑战

随着物联网应用的加快，未来针对打印机的新型攻击很有可能朝着勒索和挖矿的方向发展。有些新型攻击可能会参考对物联网（IoT）的攻击方式，而这些攻击已经对与互联网相连接的设备造成了大规模的破坏。攻击者还有可能运用这些设备所具备的大量功能，对企业的网络或环境实施更深入的攻击和破坏。

勒索软件流行，加密货币矿工也流行。攻击者可能会尝试感染大量不安全且连接网络的打印机，以进行加密货币挖矿。名为 Mamba 或的勒索软件能够通过服务器消息块在网络共享中传播，并关闭打印机。

文档盗窃方面，攻击者能够专门针对那些不安全的打印机，进而组建新的数据窃取僵尸网络。此类攻击有可能把恶意软件植入到打印机里，一方面可以从中获取所有打印作业的内容，另一方面也能够仅选择性地获取包含某些特定单词或图案（例如，社会安全号码）的打印内容。网络罪犯组织以及国家支持的攻击者对这样的攻击更为感兴趣。

网络的初始突破入口：攻击者能够把存在漏洞的打印机当作攻击的入口点。进入内部网络之后，就能够实施各种行动，在网络内部进行横向移动，悄悄地获取数据，甚至还能搞一些破坏。

攻击者能够在文档进行打印的过程中对其内容加以修改。比如说，倘若运输标签打印机遭受到了攻击，那么商品就有可能被重新运输至新的收货地址，以此来实施较为隐蔽的盗窃行为。

欺诈性电子邮件伪装成打印机发送的情况很普遍。攻击者能利用多功能打印机，以合法的内部电子邮件账户来发送欺诈性消息，从而提升其攻击效果。此类攻击可能包含以文档附件形式投递恶意软件，甚至还有商业电子邮件泄露（BEC）欺诈行为。

Red 公司演示过一种方式，即通过在无线激光打印机上安装恶意软件并修改电路信号来传输无线电信号，借此突破了物理隔离网络，这可能使打印机成为物理隔离网络与攻击者之间的跳板。

从广义角度来看，联网打印机是物联网设备在企业和个人办公环境中普遍存在且伴随威胁的一个实例。多功能打印机存在这种潜在安全风险，我们要保持清醒的认识，这是确保公司网络安全无遗漏的重要考量。

2改进打印机安全的建议

使用打印功能需要登录凭据。

要适时更新固件。要一直保证打印机使用的是最新的固件。这是打印制造商修复已知漏洞的途径。那些失去更新支持的打印机，由于制造商停止了固件更新，所以最容易遭受攻击。

关闭不需要的服务和端口。要确保关闭那些允许远程访问打印机的未被使用或不必要的协议。可靠的防火墙或UTM能够防范来自网络外部的MIM打印机攻击者的入侵。在配置网络的过程中，进行设置以使打印机只对来自网络交换机或路由器上特定端口的命令作出响应。同时要留意关闭那些没有用处的功能。IPPS 协议是用于在新打印机上进行安全打印的标准，其安全端口为 443。消费者网络打印机和企业级网络打印机的区别在于用于监视的软件。可以通过检查 HP 安全管理器、设备管理以及安全等方面来证实这一点。

禁止使用存储功能。要牢记打印机能够存储所打印文档的图像。对打印机进行配置，以清除其内存，或者禁用存储功能。也可以利用打印机实用程序或防火墙设置来设置加密，从而保护打印机的存储。

加强打印机全生命周期的管理，包括采购、配置、使用、更新、维护直至报废等各个环节的管理，同时加强对耗材的管控。重视供应链安全，强化技术措施和管理手段的落实，务必将打印机纳入体系化网络防御体系的保护之下，以杜绝其成为管理死角和防范盲区。

【参考文献】

Jens Müller 来自 Ruhr 地区，从事 IT 相关工作，Juraj 和 Horst Görtz 参与了 SoK 相关事宜，时间为 2017 年。

DEF CON 2019 ：在“提供一扇敞开的门”中存在 35 个漏洞

3.

4.，Open IPP  –    on the