网络打印机被利用（读：被黑）来打印反犹太文档。怎么修？

我不确定是否应该在这里或在security.stackexchange.com上问这个问题 ...

在复活节漫长的周末，我们一家小型办公室的网络中断，原因是一台旧的HP打印机被用来打印一些非常令人反感的反犹太文件。这似乎已经发生了一些西方文化在世界各地的大学。

无论如何...我读到，对于大多数网络打印机来说，这实际上是一个非常基本的安全漏洞。与TCP端口9100和访问Internet有关。我还无法找到有关具体方法的很多信息，因为每个人似乎都对原因感到担忧。

对于受影响的办公室，网络设置非常简单。它具有4台PC，2台联网打印机，一个8端口交换机和一个运行ADSL2 +连接（具有静态Internet IP和漂亮的香草配置）的住宅调制解调器/路由器。
是调制解调器/路由器或打印机的弱点？

我从未真正将打印机视为需要配置的安全风险，因此为了保护该办公室的网络，我想了解如何利用打印机。如何停止或阻止漏洞利用？并在我们其他更大的办公室中检查或测试漏洞（或漏洞的正确块）？

此攻击对大学的影响不成比例，因为出于历史原因，许多大学将公共IPv4地址用于其大部分或全部网络，并且出于学术原因，几乎没有或没有入口（或出口！）过滤。因此，可以从Internet上的任何位置直接访问大学网络上的许多单独设备。

在您的特定情况下，这是一个具有ADSL连接，家用/ SOHO路由器和静态IP地址的小型办公室，该办公室中的某人最有可能将TCP端口9100从Internet明确转发到打印机。（默认情况下，由于正在使用NAT，除非有一些规定将传入的流量定向到某处，否则传入的流量将无处可走。）要对此进行补救，您只需删除端口转发规则。

在具有适当入口防火墙的大型办公室中，通常不需要在边界设置该端口的任何允许规则，除非您需要人员能够在您的VPN上进行打印，否则VPN连接除外。

为了保护打印机/打印服务器本身的安全，请使用其内置的允许列表/访问控制列表来指定允许打印到打印机的IP地址范围，并拒绝所有其他IP地址。（链接的文档还包含其他有关保护打印机/打印服务器的建议，您也应该评估这些建议。）

扩展迈克尔·汉普顿的答案。是的，这可能是端口转发规则。但是通常这不是有人会故意暴露的东西。但是，它可以由UPnP设备添加。最有可能是在住宅级路由器上启用了UPnP。

由于企业级路由器通常不支持UPnP，并且默认情况下将其禁用，因此大学可能会出于其他原因而入侵打印机。在那种情况下，大学很大，拥有大量的公共IP和非常复杂的网络，有时还有多个IT部门以及众多的子校和校园。并且不要忘记喜欢四处逛逛的学生黑客。

但是，请回到我的适合您情况的UPnP理论。

不太可能有人会故意在路由器上打开端口9100，以使您的打印机对世界开放。并非没有，但不太可能。

以下是一些可能的罪魁祸首UPnP的信息：

研究人员说，UPnP漏洞使数以千万计的网络设备遭受远程攻击

尽管存在NAT路由器，但我们还是有数以千计的IP摄像机被入侵。

更多信息：利用通用即插即用协议，不安全的安全摄像机和网络打印机 这些文章已有数年历史，但仍然具有相关性。UPnP只是断断续续，不可能修复。禁用它。

第二篇文章的第一段的最后部分实际上是对它的总结：

最后，您的网络打印机正在等待被黑客入侵。

最后，遵循迈克尔·汉普顿的建议，并在可能的情况下添加访问控制列表。