◆李盛葆 潘泉波 赵煜 韩旭东
联网打印机安全性分析及态势感知技术研究
◆李盛葆1潘泉波1赵煜1韩旭东2
(1.国家计算机网络应急技术处理协调中心山东分中心 山东 250002;2. 中共山东省委网络安全和信息化委员会办公室 山东 250002)
联网打印机作为一种常见的物联网终端,往往作为独立网络节点接入到网络环境中。较传统打印机而言,攻击者可通过网络远程对联网打印机进行渗透。针对以上情况,本文汇总分析了主流品牌联网打印机技术和功能架构,对现存的风险隐患进行分析和测试,并开发了态势感知平台。
联网打印机;漏洞;态势感知
近年来,越来越多的物联网终端应用于工业生产和居家生活。与此同时,由其引发的网络安全威胁日益严峻,联网打印机作为一种常见的物联网终端也不例外。与传统打印机不同,网络打印机往往内置操作系统、存储设备和IP协议栈,通常作为独立网络节点接入到网络环境中,攻击者可通过远程渗透的方式对打印机发起攻击。同时,网络打印机本身安全漏洞隐患频发,弱口令甚至无口令现象较为普遍。网络打印机通常承载着重要部门数据,一旦被入侵,容易引发信息失窃密的严重后果。
联网打印机安全问题逐渐引起了研究领域的关注,研究人员开展了针对联网打印机网络安全性的分析研究[1-3]。国外学者J. Müller等人[4]研究分析了常见联网打印机漏洞,并对主流型号打印机进行了测试验证;A. Hecht等人[5]提出了一种针对联网打印机网络攻击的检测工具。在现有成果的基础上,本文围绕联网打印机安全问题展开了进一步深入研究分析,主要工作如下:(1)剖析当前联网打印技术原理和功能架构;(2)研究联网打印机最新安全风险和安全隐患;(3)研究联网打印机安全态势感知技术方案,开发了原型平台系统。
网络打印机能够作为独立设备接入局域网或者互联网,整体来看,联网打印技术架构如图1所示。
图1 联网打印技术架构示意图
网络打印机通过指定的联网打印协议接收打印控制指令和数据。长期以来,业界形成了由不同厂商和组织主导的各式各样的联网打印协议,比如Novell的NCP和AppleTalk协议。在Windows操作系统上,以SMB/CIFS型打印机为主流,较为常见的协议有LPD、IPP、SMB和Raw等。近年来,一些打印机型号开始内置私有的云打印协议。
打印机语言是用来控制打印机工作的命令集,向打印机发出的命令需要翻译成打印机能够识别的语言命令,才能与网络打印机建立操作交互。根据具体功能不同,大体分为两类:打印机控制语言和页面描述语言。
(1)打印机控制语言。打印机控制语言主要用来执行打印机的常规设置、打印作业的管理等功能性操作。主要有HP公司的PJL,佳能的CPCA,爱普生的EJL等。另外还有通用的SNMP协议标准等。
(2)页面描述语言。页面描述语言主要用于定义和描述实际打印的文档,各种文档都会被打印驱动程序转换成特定的页面描述语言,告诉打印机如何完成打印任务。最为通用的页面描述语言标准为PostScript和PCL。
经以上分析得出,联网打印机安全隐患问题突出,相对于传统计算机和网络,打印机的一些网络协议、语言标准等在设计之初并没有考虑到以后的安全特性,存在一定的安全缺陷[6]。主要有:
拒绝服务攻击是一种常见的网络攻击形式,利用合理的大量请求占用受害主机的过多资源,使其无法对外提供服务,拒绝服务攻击同样适用于联网打印机,包括端口阻塞、资源消耗、物理破坏等方式。
越权漏洞是一种常见的应用安全隐患,允许低权限访问者(甚至任意访问者)绕过系统鉴权机制,直接访问高权限的敏感操作。一般来说,联网打印机内置一定的权限访问控制策略,例如设置管理员密码等,限制一般用户的使用权限,但其验证机制通常不太严格,存在越权漏洞隐患。主要有重置工厂模式、利用后门程序等方式。
有些攻击者专门以窃取或篡改联网打印机的打印文档和数据为目的,可以利用打印机控制语言(PJL或PostScript)的特性发动攻击。例如,攻击者可开启部分打印机打印文档留存模式,远程获取正在打印过的文档和数据,甚至可以任意操纵打印任务,在打印文档上覆盖指定图案,或者替换篡改正在打印的文档内容。
联网打印机存在泄露敏感信息的安全隐患,不仅会泄露打印机本身的敏感信息,甚至可以对所在网络环境产生影响。例如,某些打印机型号可远程导出其NVRAM的数据,数据中会包含账号密码在内的敏感信息。主要有内存泄漏、文件系统访问、密码暴力破解等方式。
如同Windows、Android等操作系统一样,联网打印机平台同样能够被执行恶意代码。
基于以上研究分析,对于联网打印机基础技术架构以及主流网络安全威胁的研究分析,为了对联网打印机进行安全监测,开展对相关网络攻击和威胁的态势感知,达到动态评估联网打印机脆弱性风险的目的。从平台功能来看,主要包括联网打印机态势可视化展示、安全日志统计分析、打印机脆弱性测试评估等功能模块。
(1)态势可视化展示。建立轻量级关系型数据库,对前端监测数据进行统一汇总、清洗、处理、存储,引入多重安全态势分析感知模型,对多源数据进行多维度抽象,直观展示有关网络安全威胁趋势。
(2)安全日志统计分析。平台存储历史监测数据,支持多维度特征的历史查询、回溯分析等,提供联网打印机安全日志IP地址、端口、捕获特征包、地区分布、经纬度、对应品牌型号等详细数据,支撑联网打印机威胁分析、数据关联等工作。
(3)打印机脆弱性测试评估。基于前期打印机网络安全风险研究成果,平台内置集成多类脆弱性分析模型,建立打印机测试评估标准化流程,以页面一键测试的操作机制,实现对联网打印机的快捷渗透测试功能。
根据平台监测数据,以1个月捕获数据为例,累计发现全球范围内29170台打印机直接暴露在互联网上,美国、韩国联网打印机数量最多,分别为6854、6754台,中国(包括港澳台)为1240台,居全球第3位。在中国的31个省市都发现了打印机直接连接互联网的情况,其中北京、广东、江苏所属联网打印机数量最多,分别为185、119、87台。打印机品牌方面,全球范围内,惠普品牌联网打印机数量最多,为10187台。
(1)文件系统访问测试。利用PJL语言的特性,可访问打印机内置文件系统,如下图2所示。测试语句为@PJL FSDIRLIST NAME=”0:/..” ENTRY=1 COUNT=65535,封装至RAW打印机协议并发送至打印机9100端口,若存在漏洞,打印机则会回显文件系统信息。测试数据包:x1B%–12345X@PJL FSDIRLIST NAME=”0:/..” ENTRY=1 COUNT=65535x0Ax0D。
图2 访问打印机内置文件系统
(2)重启重置测试。对于大多数打印机来,可利用SNMP协议发送重置命令,重启或者使打印机回复出厂设置;对于惠普打印机,可将SNMP转换为PML命令,重启或使打印机恢复出厂设置,如下图3所示。测试语句,SNMP方式:snmpset -v1 -c public printer 1.3.6.1.2.1.43.5.1.1.3.1 i 6;针对惠普打印机的PML方式:@PJL DMCMD ASCIIHEX="040006020501010301040106"。
图3 利用测试平台执行远程重启指令后,目标无法访问
(3)Web服务访问测试。部分联网打印机对外提供Web服务,利用nmap等工具可探测其端口存活性,判断是否提供Web服务。测试发现,提供Web服务的打印机大部分允许无须密码直接登录页面,页面往往显示出打印机的实时状态,能够通过页面进行打印机设置,如设置纸张、打印参数等等,有的还能查看历史打印记录,如下图4所示。
图4 打印机Web控制界面
(4)扫描功能未授权访问测试。多功能打印机具备打印、复印、扫描、传真等多种功能,访问者可以联网轻易得到部分打印机的多功能使用权限,可能会允许远程攻击者访问到重要文件,如图5所示。
图5 通过Web扫描功能访问上次扫描的文件内容
本文主要深入研究了主流联网打印机技术架构和原理,分析了常见打印机安全隐患,搭建了联网打印机安全监测和测试评估技术平台,并依托平台对常见安全隐患进行了实际渗透测试和结果分析。下一步,还应对一些新型的联网打印技术(如云打印等)加深研究,并研究建立有效的网络安全防御技术机制。
[1]J. C. Hernandez,J. M. Sierra,A. Gonzalez-Tablas and A. Orfila, "Printers are dangerous," Proceedings IEEE 35th Annual 2001 International Carnahan Conference on Security Technology (Cat. No.01CH37186),London,England,UK,2001,pp. 190-196.
[2]Hewlett-Packard Inc.Printer job language technical reference manual[R].Hewlett-Packard Development Company, LP,Palo Alto,California,USA,2003.
[3]Xiaodong D,Quan W,Pengfei Y,et al. Security System for Internal Network Printing[C]// Eighth International Conference on Computational Intelligence & Security. IEEE,2013.
[4]J. Müller,V. Mladenov,J. Somorovsky and J. Schwenk, "SoK:Exploiting Network Printers," 2017 IEEE Symposium on Security and Privacy(SP),San Jose,CA,2017,pp. 213-230.
[5]A. Hecht, A. Sagi and Y. Elovici, "PIDS: A Behavioral Framework for Analysis and Detection of Network Printer Attacks," 2018 13th International Conference on Malicious and Unwanted Software (MALWARE),Nantucket,MA,USA, 2018,pp. 87-94.
[6]杨宏宇,王梓. 基于AppSocket的网络打印作业脆弱性分析[J]. 计算机应用与软件,2015(3):302-305.