打印機是人們在生活和辦公中經常使用的電子設備,家庭、辦公室、公司、政府單位、醫院、學校......幾乎每一個單位和機構都會使用打印機。從安全的角度來看,由于打印設備部署于內部網絡,通過它們可以直接訪問到機密報告、合同或病歷等敏感信息打印機隊列中有0個文檔,比較關鍵。近期,來自德國魯爾大學的安全研究人員對多種品牌型號的網絡打印機開展了一項深入的安全研究,以下為他們對這項研究的相關概述和結果分析。
在這篇文章中,我們總結了基于網絡打印機的攻擊場景概述,同時展示了攻擊者可以如何入侵一臺存在漏洞的打印機。通過對20種不同品牌型號的打印機進行測試后發現,每一種品牌的打印機都存在不同程度的攻擊可能和漏洞。
基于分析,我們還給出了測試過程中使用的打印機入侵利用工具- (PRET)。主要研究成果可以在Jens Müller發表的PPT和我們發布的公開報告中找到。
另外,為了加強打印機安全的研究交流,我們還設立了一個wiki頁面,其它更多精彩的分享,請關注Jens Müller即將在5月份安全會議上的演講《How to Hack Your 》。
研究背景
打印語言是控制打印機工作的一個命令集,它告訴打印機如何組織被打印的文檔,在打印機語言的控制下,從計算機傳來的打印數據被轉化成可供打印的文字和圖像,最終被打印機識別并輸出出來。打印語言決定著激光打印機輸出版面的復雜程度,是衡量激光打印機性能的一個重要指標。
一個高效的控制語言可減少文件的大小和下載的時間打印機隊列中有0個文檔,提高將普通文本格式化成打印文本的速度,目前主要打印控制語言有:PS()、PCL和GDI(圖形設備接口語言);但總體來說可以分成兩類,一類是頁描述語言(PDL,Page ),另一類是嵌入式語言(如 Code ),PCL和 都屬于PDL。(更多了解請參考此文檔)。
針對打印機,有多種協議命令和打印語言可以實現打印機設備和打印任務的控制,其中大多數都可能是我們平時都沒怎么聽過的。相關協議和語言如下圖所示:
設備控制
這個命令集語言用于打印機設備控制,使用它們還可以檢索設備名稱和狀態,該集合語言主要為簡單網絡管理協議SNMP,SNMP是基于UDP,用來管理諸如打印機、路由器、服務器等各種網絡設備的基本網絡通信協議。
打印通道
打印設備通常支持的協議有:互聯網打印協議(IPP)、行式打印后臺程序(LPD)、SMB協議和9100原始端口打印協議。這些協議都各有特點,如打印作業隊列管理或報告等。在測試分析過程中,我們正是利用了這些打印支持協議,向打印機進行惡意文檔傳播的。
互聯網打印協議(IPP; )是一個在互聯網上打印的標準網絡協議,它容許用戶可以透過互聯網作遙距打印及管理打印工作等工作。用戶可以透過相關界面來控制打印品所使用的紙張種類、分辨率等各種參數。
作業控制語言
該命令集語言一般用于管理置紙托盤和紙張數量等打印機設置狀態,其中比較標準的作業控制語言則是PJL,與PCL不同的是,PJL提供了不同類別的任務級別的控制。從安全角度來說,PJL更適用,因為它不僅能應用于當前任務,還能作出一些永久性設置,如打印顯示或讀寫狀態等。
PJL , Job 的簡寫,它提供了不同類別的打印控制。與PCL不同的是,PJL提供任務級別的控制,而PCL和HP-GL/2只控制打印頁面上的打印點的位置。
頁面描述語言(PDL)
PS()語言是一種標準的PDL語言。雖然已經不在臺式印刷系統中流行,但仍然是激光印刷打印系統的PDL語言首選。是基于堆棧的圖靈完備編程語言,它包含400多種指令和操作符,從安全視角來說,這些指令和操作符可以被攻擊利用,入侵控制了解釋器就能實現代碼執行等惡意操作。
頁面描述語言,是一種面向輸出效應的語言,用于描述打印或照排的版面,這種語言不僅具有版面描述功能,還具有計算機設計的特點,即可處理文字,又可處理圖象,各種軟件在排版和圖形處理之后形成PDL形式,就可匯總在一頁上輸出。
攻擊測試
從網絡攻擊角度來說,打印機算是一個重要且有價值的攻擊目標,但打印機的安全和威脅技術研究卻非常之少。所以,我們的首要任務是,根據目前CVE漏洞庫和安全博客中公布的,有關打印機漏洞和安全技術進行綜合分析,通過對現存已知漏洞問題的歸納總結,構建新型或通用攻擊模型,測試不同品牌型號打印機存在的漏洞和安全性。
我們認為,最好的攻擊目標是那些使用和PJL解釋器進行打印作業處理的打印機,因為遠程攻擊者可以不依賴于設備支持的打印通道,僅只需要利用單獨的'文檔打印'功能就能對其進行入侵攻擊。在我們的分析中,總體上把打印機攻擊分為四類:
DoS攻擊
只要執行以下兩行代碼,就可實現對打印機的DoS攻擊,讓打印機陷入一個無限loop任務循環:
%! {} loop
其它此類攻擊:
使打印機進入離線脫機模式:利用PJL語言的操作控制命令讓打印機顯示其它特定消息或進入離線狀態模式;
物理破壞:通過對PJL常變量的持續設置和更改,可能會對打印機具有讀寫周期的NVRAM(非易失性隨機訪問存儲,打印機主要存儲)造成破壞;
重定義打印顯示信息:的''命令用來對打印文檔的每一頁顯示信息進行設置,可在不影響打印內容的頂部或底部加入自定義標題文字。因此,攻擊者可以通過該命令任意定義其它打印顯示信息。
安全設置繞過
為了繞過打印機現有的安全設置,最簡單的方法就是把打印機重置到出廠狀態。由于大多數打印機都可以通過某些按鍵組合進行出廠狀態硬復位,所以對入侵了打印機的攻擊者來說,這種操作也比較容易實現。
而且,如果打印機支持標準( MIB),攻擊者可以遠程利用SNMP命令來實現對目標打印機的出廠狀態重置:
# snmpset -v1 -c public [printer] 1.3.6.1.2.1.43.5.1.1.3.1 i 6
其它特殊機型都提供了類似功能命令語言,如HP的PML, 的等。此外,我們的研究表明,很多流行的CUPS和LPRng打印機都存在技術繞過,實現出廠狀態重置的可能。
CUPS( UNIX ,集成在大多打印機內的通用Unix打印系統。LPRng(LPR Next ),下一代行式打印系統。
打印任務控制
由于一些PDL語言允許修改,所以可能導致攻擊者的一些惡作劇攻擊,如控制用戶打印任務、在打印文檔上打印出任意圖案文字、自定義任意'’狀態信息等。
打印機信息泄露
9100端口打印支持雙向通道,因此可導致某些敏感信息泄露,例如(兄弟)打印機可以通過以下PJL命令向NVRAM執行讀寫操作:
@PJL RNVRAM ADDRESS = X
在我們的實際測試中,可以利用該命令讀取打印機的整個NVRAM內存數據,其中就包含了一些敏感信息,如打印機密碼、用戶自定義打印機支持協議POP3/SMTP密碼、FTP密碼和活動目錄信息等。攻擊者可以利用這些信息進行內網提權,或把打印機作為內網滲透擺渡設備。
其它此類攻擊:
文件系統入侵:和PJL命令都具有對打印機文件系統的訪問功能,然而某些品牌打印機卻未對一些特殊目錄設置訪問限制,可以導致如密碼等其它敏感信息泄露。
打印任務獲取:只要打印機使用命令,攻擊者就可以通過其獲取到打印任務。主要因為的兩個特性:一是攻擊者可通過自定義的操作符'hook'到其它打印用戶的打印任務;二是可以讀取數據并進行簡單的文檔信息存儲。
密碼泄露:攻擊者可以對1-65535范圍內的PJL密鑰數字進行暴力破解,輕易獲取到PJL密碼;同樣,如果利用每秒高達次的密碼驗證就可破解密碼。
打印機入侵利用工具-PRET
為了讓以上攻擊實現自動化,我們發布了一個自動化概念驗證攻擊工具:PRET,通過該工具可以簡化終端攻擊者與目標打印機之間的通信交流。因此,當遇到一些UNIX打印系統命令時,PRET會把它轉換成或PJL語言,發送給目標打印機,并對反饋結果進行安全評估。例如,PRET會把UNIX命令“ls"轉換成以下PJL請求:
@PJL FSDIRLIST NAME=”0:\” ENTRY=1 COUNT=65535
之后,它會收集打印機輸出信息并把它轉換成簡單明了的顯示信息。
PRET使用以下命令對打印機文件系統進行攻擊測試:
安全評估
我們想對打印機安全開展一個全面深入的安全評估,所以選擇了大約20多種常用流行的品牌打印機作為測試對象。為了節省資金,我們還從各大高校機構公開收集了一些打印機作為研究,目前,在排名前十的打印機品牌中,我們至少有一種型號的測試機型。
這些打印機并不都是全新的,其中有三臺打印機還存在功能缺失導致不能執行測試攻擊,但所有這些打印設備構成了當前辦公環境中的典型環境。在執行測試攻擊之前,我們為每臺設備進行了全新的固件更新。測試結果表明,每種打印設備都存在多種可攻擊可能。例如,利用包含循環代碼的惡意文件,可以針對每種品牌打印機執行DoS攻擊。
在攻擊中,只有HP 運行有看守程序,在測試之后會引起設備故障,關機10分鐘之后才能恢復正常;而被測打印機經24小時的NVRAM內存讀寫操作壓力測試之后,則會導致物理內存損壞;大多數打印機都可執行打印任務控制或獲取的攻擊。
攻擊者甚至會利用打印機的、PJL和PML命令,對打印機發起跨站打印(cross-site )攻擊,在這種攻擊的基礎上,我們發現了另一種新的攻擊方法:跨源資源共享欺騙攻擊(cross- ,CORS )。CORS 攻擊可以通過瀏覽器獲取到打印設備的相關打印任務信息。
該網站的概念性攻擊代碼可以對大多數公司和機構的打印機實行攻擊測試:
在后續的文章中,我們將會對各種打印機攻擊方法作出具體描述,并對打印機入侵利用工具PRET作出簡要介紹。
*參考來源:web-in-,FB小編編譯,轉載請注明來自.COM