◆李盛葆 潘泉波 趙煜 韓旭東

聯(lián)網(wǎng)打印機(jī)安全性分析及態(tài)勢(shì)感知技術(shù)研究

◆李盛葆1潘泉波1趙煜1韓旭東2

（1.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心山東分中心 山東 250002；2. 中共山東省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室 山東 250002）

聯(lián)網(wǎng)打印機(jī)作為一種常見的物聯(lián)網(wǎng)終端，往往作為獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)接入到網(wǎng)絡(luò)環(huán)境中。較傳統(tǒng)打印機(jī)而言，攻擊者可通過網(wǎng)絡(luò)遠(yuǎn)程對(duì)聯(lián)網(wǎng)打印機(jī)進(jìn)行滲透。針對(duì)以上情況，本文匯總分析了主流品牌聯(lián)網(wǎng)打印機(jī)技術(shù)和功能架構(gòu)，對(duì)現(xiàn)存的風(fēng)險(xiǎn)隱患進(jìn)行分析和測(cè)試，并開發(fā)了態(tài)勢(shì)感知平臺(tái)。

聯(lián)網(wǎng)打印機(jī)；漏洞；態(tài)勢(shì)感知

近年來，越來越多的物聯(lián)網(wǎng)終端應(yīng)用于工業(yè)生產(chǎn)和居家生活。與此同時(shí)，由其引發(fā)的網(wǎng)絡(luò)安全威脅日益嚴(yán)峻，聯(lián)網(wǎng)打印機(jī)作為一種常見的物聯(lián)網(wǎng)終端也不例外。與傳統(tǒng)打印機(jī)不同，網(wǎng)絡(luò)打印機(jī)往往內(nèi)置操作系統(tǒng)、存儲(chǔ)設(shè)備和IP協(xié)議棧，通常作為獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)接入到網(wǎng)絡(luò)環(huán)境中，攻擊者可通過遠(yuǎn)程滲透的方式對(duì)打印機(jī)發(fā)起攻擊。同時(shí)，網(wǎng)絡(luò)打印機(jī)本身安全漏洞隱患頻發(fā)，弱口令甚至無口令現(xiàn)象較為普遍。網(wǎng)絡(luò)打印機(jī)通常承載著重要部門數(shù)據(jù)，一旦被入侵，容易引發(fā)信息失竊密的嚴(yán)重后果。

1 相關(guān)工作

聯(lián)網(wǎng)打印機(jī)安全問題逐漸引起了研究領(lǐng)域的關(guān)注，研究人員開展了針對(duì)聯(lián)網(wǎng)打印機(jī)網(wǎng)絡(luò)安全性的分析研究[1-3]。國(guó)外學(xué)者J. Müller等人[4]研究分析了常見聯(lián)網(wǎng)打印機(jī)漏洞，并對(duì)主流型號(hào)打印機(jī)進(jìn)行了測(cè)試驗(yàn)證；A. Hecht等人[5]提出了一種針對(duì)聯(lián)網(wǎng)打印機(jī)網(wǎng)絡(luò)攻擊的檢測(cè)工具。在現(xiàn)有成果的基礎(chǔ)上，本文圍繞聯(lián)網(wǎng)打印機(jī)安全問題展開了進(jìn)一步深入研究分析，主要工作如下：（1）剖析當(dāng)前聯(lián)網(wǎng)打印技術(shù)原理和功能架構(gòu)；（2）研究聯(lián)網(wǎng)打印機(jī)最新安全風(fēng)險(xiǎn)和安全隱患；（3）研究聯(lián)網(wǎng)打印機(jī)安全態(tài)勢(shì)感知技術(shù)方案，開發(fā)了原型平臺(tái)系統(tǒng)。

2 聯(lián)網(wǎng)打印技術(shù)架構(gòu)研究

網(wǎng)絡(luò)打印機(jī)能夠作為獨(dú)立設(shè)備接入局域網(wǎng)或者互聯(lián)網(wǎng)，整體來看，聯(lián)網(wǎng)打印技術(shù)架構(gòu)如圖1所示。

圖1 聯(lián)網(wǎng)打印技術(shù)架構(gòu)示意圖

2.1 聯(lián)網(wǎng)打印協(xié)議

網(wǎng)絡(luò)打印機(jī)通過指定的聯(lián)網(wǎng)打印協(xié)議接收打印控制指令和數(shù)據(jù)。長(zhǎng)期以來，業(yè)界形成了由不同廠商和組織主導(dǎo)的各式各樣的聯(lián)網(wǎng)打印協(xié)議，比如Novell的NCP和AppleTalk協(xié)議。在Windows操作系統(tǒng)上，以SMB/CIFS型打印機(jī)為主流，較為常見的協(xié)議有LPD、IPP、SMB和Raw等。近年來，一些打印機(jī)型號(hào)開始內(nèi)置私有的云打印協(xié)議。

2.2 聯(lián)網(wǎng)打印機(jī)語言

打印機(jī)語言是用來控制打印機(jī)工作的命令集，向打印機(jī)發(fā)出的命令需要翻譯成打印機(jī)能夠識(shí)別的語言命令，才能與網(wǎng)絡(luò)打印機(jī)建立操作交互。根據(jù)具體功能不同，大體分為兩類：打印機(jī)控制語言和頁面描述語言。

（1）打印機(jī)控制語言。打印機(jī)控制語言主要用來執(zhí)行打印機(jī)的常規(guī)設(shè)置、打印作業(yè)的管理等功能性操作。主要有HP公司的PJL，佳能的CPCA，愛普生的EJL等。另外還有通用的SNMP協(xié)議標(biāo)準(zhǔn)等。

（2）頁面描述語言。頁面描述語言主要用于定義和描述實(shí)際打印的文檔，各種文檔都會(huì)被打印驅(qū)動(dòng)程序轉(zhuǎn)換成特定的頁面描述語言，告訴打印機(jī)如何完成打印任務(wù)。最為通用的頁面描述語言標(biāo)準(zhǔn)為PostScript和PCL。

3 聯(lián)網(wǎng)打印機(jī)安全風(fēng)險(xiǎn)分析

經(jīng)以上分析得出，聯(lián)網(wǎng)打印機(jī)安全隱患問題突出，相對(duì)于傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)，打印機(jī)的一些網(wǎng)絡(luò)協(xié)議、語言標(biāo)準(zhǔn)等在設(shè)計(jì)之初并沒有考慮到以后的安全特性，存在一定的安全缺陷[6]。主要有：

3.1 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是一種常見的網(wǎng)絡(luò)攻擊形式，利用合理的大量請(qǐng)求占用受害主機(jī)的過多資源，使其無法對(duì)外提供服務(wù)，拒絕服務(wù)攻擊同樣適用于聯(lián)網(wǎng)打印機(jī)，包括端口阻塞、資源消耗、物理破壞等方式。

3.2 越權(quán)攻擊

越權(quán)漏洞是一種常見的應(yīng)用安全隱患，允許低權(quán)限訪問者（甚至任意訪問者）繞過系統(tǒng)鑒權(quán)機(jī)制，直接訪問高權(quán)限的敏感操作。一般來說，聯(lián)網(wǎng)打印機(jī)內(nèi)置一定的權(quán)限訪問控制策略，例如設(shè)置管理員密碼等，限制一般用戶的使用權(quán)限，但其驗(yàn)證機(jī)制通常不太嚴(yán)格，存在越權(quán)漏洞隱患。主要有重置工廠模式、利用后門程序等方式。

3.3 打印任務(wù)攻擊

有些攻擊者專門以竊取或篡改聯(lián)網(wǎng)打印機(jī)的打印文檔和數(shù)據(jù)為目的，可以利用打印機(jī)控制語言（PJL或PostScript）的特性發(fā)動(dòng)攻擊。例如，攻擊者可開啟部分打印機(jī)打印文檔留存模式，遠(yuǎn)程獲取正在打印過的文檔和數(shù)據(jù)，甚至可以任意操縱打印任務(wù)，在打印文檔上覆蓋指定圖案，或者替換篡改正在打印的文檔內(nèi)容。

3.4 信息泄露攻擊

聯(lián)網(wǎng)打印機(jī)存在泄露敏感信息的安全隱患，不僅會(huì)泄露打印機(jī)本身的敏感信息，甚至可以對(duì)所在網(wǎng)絡(luò)環(huán)境產(chǎn)生影響。例如，某些打印機(jī)型號(hào)可遠(yuǎn)程導(dǎo)出其NVRAM的數(shù)據(jù)，數(shù)據(jù)中會(huì)包含賬號(hào)密碼在內(nèi)的敏感信息。主要有內(nèi)存泄漏、文件系統(tǒng)訪問、密碼暴力破解等方式。

3.5 代碼執(zhí)行

如同Windows、Android等操作系統(tǒng)一樣，聯(lián)網(wǎng)打印機(jī)平臺(tái)同樣能夠被執(zhí)行惡意代碼。

4 搭建聯(lián)網(wǎng)打印機(jī)安全態(tài)勢(shì)感知平臺(tái)

基于以上研究分析，對(duì)于聯(lián)網(wǎng)打印機(jī)基礎(chǔ)技術(shù)架構(gòu)以及主流網(wǎng)絡(luò)安全威脅的研究分析，為了對(duì)聯(lián)網(wǎng)打印機(jī)進(jìn)行安全監(jiān)測(cè)，開展對(duì)相關(guān)網(wǎng)絡(luò)攻擊和威脅的態(tài)勢(shì)感知，達(dá)到動(dòng)態(tài)評(píng)估聯(lián)網(wǎng)打印機(jī)脆弱性風(fēng)險(xiǎn)的目的。從平臺(tái)功能來看，主要包括聯(lián)網(wǎng)打印機(jī)態(tài)勢(shì)可視化展示、安全日志統(tǒng)計(jì)分析、打印機(jī)脆弱性測(cè)試評(píng)估等功能模塊。

（1）態(tài)勢(shì)可視化展示。建立輕量級(jí)關(guān)系型數(shù)據(jù)庫(kù)，對(duì)前端監(jiān)測(cè)數(shù)據(jù)進(jìn)行統(tǒng)一匯總、清洗、處理、存儲(chǔ)，引入多重安全態(tài)勢(shì)分析感知模型，對(duì)多源數(shù)據(jù)進(jìn)行多維度抽象，直觀展示有關(guān)網(wǎng)絡(luò)安全威脅趨勢(shì)。

（2）安全日志統(tǒng)計(jì)分析。平臺(tái)存儲(chǔ)歷史監(jiān)測(cè)數(shù)據(jù)，支持多維度特征的歷史查詢、回溯分析等，提供聯(lián)網(wǎng)打印機(jī)安全日志IP地址、端口、捕獲特征包、地區(qū)分布、經(jīng)緯度、對(duì)應(yīng)品牌型號(hào)等詳細(xì)數(shù)據(jù)，支撐聯(lián)網(wǎng)打印機(jī)威脅分析、數(shù)據(jù)關(guān)聯(lián)等工作。

（3）打印機(jī)脆弱性測(cè)試評(píng)估?；谇捌诖蛴C(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究成果，平臺(tái)內(nèi)置集成多類脆弱性分析模型，建立打印機(jī)測(cè)試評(píng)估標(biāo)準(zhǔn)化流程，以頁面一鍵測(cè)試的操作機(jī)制，實(shí)現(xiàn)對(duì)聯(lián)網(wǎng)打印機(jī)的快捷滲透測(cè)試功能。

5 監(jiān)測(cè)結(jié)果分析和評(píng)估測(cè)試

5.1 聯(lián)網(wǎng)打印機(jī)態(tài)勢(shì)分析

根據(jù)平臺(tái)監(jiān)測(cè)數(shù)據(jù)，以1個(gè)月捕獲數(shù)據(jù)為例，累計(jì)發(fā)現(xiàn)全球范圍內(nèi)29170臺(tái)打印機(jī)直接暴露在互聯(lián)網(wǎng)上，美國(guó)、韓國(guó)聯(lián)網(wǎng)打印機(jī)數(shù)量最多，分別為6854、6754臺(tái)，中國(guó)（包括港澳臺(tái)）為1240臺(tái)，居全球第3位。在中國(guó)的31個(gè)省市都發(fā)現(xiàn)了打印機(jī)直接連接互聯(lián)網(wǎng)的情況，其中北京、廣東、江蘇所屬聯(lián)網(wǎng)打印機(jī)數(shù)量最多，分別為185、119、87臺(tái)。打印機(jī)品牌方面，全球范圍內(nèi)，惠普品牌聯(lián)網(wǎng)打印機(jī)數(shù)量最多，為10187臺(tái)。

5.2 目標(biāo)滲透測(cè)試情況

（1）文件系統(tǒng)訪問測(cè)試。利用PJL語言的特性，可訪問打印機(jī)內(nèi)置文件系統(tǒng)，如下圖2所示。測(cè)試語句為@PJL FSDIRLIST NAME=”0：/..” ENTRY=1 COUNT=65535，封裝至RAW打印機(jī)協(xié)議并發(fā)送至打印機(jī)9100端口，若存在漏洞，打印機(jī)則會(huì)回顯文件系統(tǒng)信息。測(cè)試數(shù)據(jù)包：x1B%–12345X@PJL FSDIRLIST NAME=”0：/..” ENTRY=1 COUNT=65535x0Ax0D。

圖2 訪問打印機(jī)內(nèi)置文件系統(tǒng)

（2）重啟重置測(cè)試。對(duì)于大多數(shù)打印機(jī)來，可利用SNMP協(xié)議發(fā)送重置命令，重啟或者使打印機(jī)回復(fù)出廠設(shè)置；對(duì)于惠普打印機(jī)，可將SNMP轉(zhuǎn)換為PML命令，重啟或使打印機(jī)恢復(fù)出廠設(shè)置，如下圖3所示。測(cè)試語句，SNMP方式：snmpset -v1 -c public printer 1.3.6.1.2.1.43.5.1.1.3.1 i 6；針對(duì)惠普打印機(jī)的PML方式：@PJL DMCMD ASCIIHEX="040006020501010301040106"。

圖3 利用測(cè)試平臺(tái)執(zhí)行遠(yuǎn)程重啟指令后，目標(biāo)無法訪問

（3）Web服務(wù)訪問測(cè)試。部分聯(lián)網(wǎng)打印機(jī)對(duì)外提供Web服務(wù)，利用nmap等工具可探測(cè)其端口存活性，判斷是否提供Web服務(wù)。測(cè)試發(fā)現(xiàn)，提供Web服務(wù)的打印機(jī)大部分允許無須密碼直接登錄頁面，頁面往往顯示出打印機(jī)的實(shí)時(shí)狀態(tài)，能夠通過頁面進(jìn)行打印機(jī)設(shè)置，如設(shè)置紙張、打印參數(shù)等等，有的還能查看歷史打印記錄，如下圖4所示。

圖4 打印機(jī)Web控制界面

（4）掃描功能未授權(quán)訪問測(cè)試。多功能打印機(jī)具備打印、復(fù)印、掃描、傳真等多種功能，訪問者可以聯(lián)網(wǎng)輕易得到部分打印機(jī)的多功能使用權(quán)限，可能會(huì)允許遠(yuǎn)程攻擊者訪問到重要文件，如圖5所示。

圖5 通過Web掃描功能訪問上次掃描的文件內(nèi)容

6 結(jié)束語

本文主要深入研究了主流聯(lián)網(wǎng)打印機(jī)技術(shù)架構(gòu)和原理，分析了常見打印機(jī)安全隱患，搭建了聯(lián)網(wǎng)打印機(jī)安全監(jiān)測(cè)和測(cè)試評(píng)估技術(shù)平臺(tái)，并依托平臺(tái)對(duì)常見安全隱患進(jìn)行了實(shí)際滲透測(cè)試和結(jié)果分析。下一步，還應(yīng)對(duì)一些新型的聯(lián)網(wǎng)打印技術(shù)（如云打印等）加深研究，并研究建立有效的網(wǎng)絡(luò)安全防御技術(shù)機(jī)制。

[1]J. C. Hernandez，J. M. Sierra，A. Gonzalez-Tablas and A. Orfila， "Printers are dangerous，" Proceedings IEEE 35th Annual 2001 International Carnahan Conference on Security Technology （Cat. No.01CH37186），London，England，UK，2001，pp. 190-196.

[2]Hewlett-Packard Inc．Printer job language technical reference manual[R].Hewlett-Packard Development Company， LP，Palo Alto，California，USA，2003．

[3]Xiaodong D，Quan W，Pengfei Y，et al. Security System for Internal Network Printing[C]// Eighth International Conference on Computational Intelligence & Security. IEEE，2013.

[4]J. Müller，V. Mladenov，J. Somorovsky and J. Schwenk， "SoK：Exploiting Network Printers，" 2017 IEEE Symposium on Security and Privacy（SP），San Jose，CA，2017，pp. 213-230.

[5]A. Hecht， A. Sagi and Y. Elovici， "PIDS： A Behavioral Framework for Analysis and Detection of Network Printer Attacks，" 2018 13th International Conference on Malicious and Unwanted Software （MALWARE），Nantucket，MA，USA， 2018，pp. 87-94.

[6]楊宏宇，王梓. 基于AppSocket的網(wǎng)絡(luò)打印作業(yè)脆弱性分析[J]. 計(jì)算機(jī)應(yīng)用與軟件，2015（3）：302-305.