Black hat 2017:如何利用PostScript語言入侵聯網印表機
E安全7月27日訊 在本屆2017黑帽大會上,一位來自高校的研究人員演示了攻擊者如何通過無處不在的PostScript編程語言入侵聯網印表機設備。
根據魯爾大學的安全研究人員透露,網路印表機入侵是一種舊瓶裝新酒般但卻極具威脅的安全風險。
至少20種印表機容易遭受攻擊
在此次黑帽大會的主題演講《入侵網路印表機》當中,魯爾大學網路與數據安全系主任延斯·穆勒將對印表機攻擊活動作出剖析。他發現至少存在20種印表機機型在測試當中至少受到一種攻擊手段的影響。穆勒還將在演講當中探討其它幾種相對少見的聯網印表機攻擊方式,包括使用高級跨站點列印技術等。穆勒指出,這一安全漏洞來自擁有35年悠久歷史的PostScript編程語言——儘管列印技術早已由並行介面轉變為USB、聯網印表機甚至是雲印表機,但數十年來該編程語言仍然持續將印表機與最終用戶維繫起來。
穆勒指出,「在此之前,PostScript並不會對使用並行線纜的印表機造成什麼問題。但現在的情況是,各印表機製造商仍然在使用PostScript語言,並導致相關設備極易遭到遠程入侵。」
PostScript: 一種行業標準
PostScript編程語言屬於網路印表機領域的一種行業標準,其影響可謂無處不在。穆勒表示,儘管攻擊者有能力利用其中的漏洞,但印表機製造商的關注點卻不在這裡。各製造商認為網路管理員有責任將印表機設備部署在內網當中,從而保證其免受外部威脅的影響。
穆勒同時指出,即使在今天,製造商們似乎也並沒有意識到攻擊者完全可以通過互聯網入侵網路印表機。
在網路方面,網路管理員顯然更傾向於將聯網印表機視為列印設備,而非潛在的攻擊向量。而由此帶來的結果是,網路管理員們往往未對網路印表機的安全保護工作給予足夠的重視。
穆勒所測試的攻擊手段包括拒絕服務攻擊,且成功攻陷了20台待測試印表機當中的8台。此外他還出現新的問題,即可通過遠程方式將印表機恢復至出廠默認設置。其它印表機攻擊方式還包括竊取列印作業中的敏感信息乃至竊取系統文件等。
如何解決印表機的問題?
穆勒指出,解決上述問題的潛在方案之一,在於將所有聯網印表機匯總起來並統一部署在單獨的列印網路當中。不過這樣處理亦有弊端,即要求網路管理員同時監控兩套網路並承擔由防火牆安裝及監控帶來的額外成本,這一切對於中小型企業來說顯然不太實際。他認為,「CISO們應該問問自己,他們是否真的需要這樣一台聯網設備。事實上,立足安全考量而不將印表機接入雲端可能才是更好的選擇。」同。美國官員拒絕提供重要細節。27
E安全推薦文章
官網:www.easyaq.com
2017年7月
01
02
03
04
05
06
07
※IBM推出物聯網和汽車安全測試服務
※解密:2017黑帽大會破解門票之DEF-CON-Badge挑戰!
※僅需4美元就可買到美國近千萬選民數據信息
※美國陸軍新項目:「戰場物聯網」與自主無人機
TAG:E安全 |
※Kanye 用多國語言給 350 V2 「Triple White」 造勢
※Google Assistant今年將提供30多種語言 覆蓋95%的Android手機
※為什麼成立中韓語言交流會?The Language Exchange of Dreamtalk in Shanghai
※Semantic Experiences網站:用自然語言同AI交流
※用R語言的Blogdown+Hugo+Netlify+Github建博客
※Adobe Photoshop CC 2018 Win/Mac 中文/英文/多語言破解版
※大師語言 | John William Godward
※Win32應用即將擁抱Fluent Design設計語言
※Rust 逆襲!位列 Stack Overflow 2018 最受歡迎編程語言榜首
※谷歌將用AI分析投放網頁廣告;Google Assistant將支持超過30種語言並上線Routine功能
※走向世界 Google Assistant新增30種語言
※GitHub獲贊過千:PyTorch 自然語言處理項目Top 5
※I/O 2018大會下周見,大膽預測 Material Design 2.0 設計語言
※Swift for TensorFlow 已在 GitHub 上開源,Tensor 成為 Swift 語言裡面的一等公民
※Firefox Reality VR瀏覽器支持7種新語言,書籤等
※身體的語言 ya.tender-1
※首款基於Pascal腳本語言的全功能Web伺服器Moon Http Server即將上線
※IEEE Spectrum 2018 年度編程語言排行榜,Python 衛冕
※對話 Salesforce 首席科學家 Richard Socher:選擇 ML 是出於對數學和語言的熱愛
※如何將Python自然語言處理速度提升100倍:用spaCy/Cython加速NLP