打印机固件被植入后门——办公外设成为黑客入口
2024年11月,国家网络安全通报中心发布了一则技术警示:多款主流办公打印机设备的固件中被检测出存在后门程序。这些后门可以在打印机正常工作的同时,将打印、扫描和传真过程中的文档内容复制并发送到攻击者指定的远程服务器上。更令人担忧的是,经过安全分析人员的深入排查,这些后门并非黑客临时植入,而是部分打印机设备在出厂时固件中就存在可疑代码段,疑似在供应链生产环节被提前预埋。打印机可能是企业办公环境中"最不起眼"的IT设备,但恰恰是它,拥有着企业最核心信息的访问通道。每一台联网的打印机都能够接触到企业内部的文档流:从商业合同、财务报表、技术图纸,到人事资料、客户信息和内部会议纪要,所有的纸质信息在数字化过程中的必经之路就是打印机。然而,与服务器、网络设备和终端电脑相比,打印机在绝大多数企业的安全体系中处于"被遗忘的角落"。尽管这些打印机在渗透进企业内网后所能做的事情远比打印文档要多。该事件中发现的固件后门可以实现远程控制、文件窃取、网络嗅探、横向移动等多种恶意功能。攻击者通过后门控制打印机后,可以在企业内网中执行以下操作。首先,将打印任务中的每一页文档内容实时截取并发送至外部服务器,企业内部的任何打印文件都变成了攻击者的阅读材料。其次,利用打印机在内网中的特殊位置进行网络嗅探,捕获局域网中的其他通信数据,寻找更高价值的目标。第三,以打印机为跳板,攻击同一网络中的其他系统,尤其是一些打印机网络连接中存在的文件共享服务器或者域控制器。为什么打印机成为了黑客的理想目标?原因在于安全投入与风险等级的严重错配。企业在网络安全预算中,绝大部分资金用于保护服务器、防火墙、终端和网络设备,而打印机等办公外设往往不在安全建设的核心清单上。这就导致打印机在很多企业里保持着出厂默认的管理员密码——admin或者password,运行着多年未更新的固件版本,暴露在网络端口上的管理界面没有任何访问控制,甚至直接在公网上就可以被搜索和访问。攻击者对打印机进行渗透并不需要多么高深的技术。利用Shodan等搜索引擎,可以在数分钟内找到全球范围内暴露在网络上的打印机。很多打印机的Web管理界面仍然使用HTTP明文协议,管理员密码可以在网络传输过程中被直接截获。即使暂时没有找到漏洞,攻击者也可以通过搜索公开的漏洞数据库和利用代码,针对特定型号的打印机发起攻击。针对办公外设安全这一长期被忽视的问题,企业应当从以下五个方面进行全面整改。第一,将打印机纳入企业的资产管理范围,建立完整的办公设备资产台账,对所有联网打印机进行统一管理。第二,修改所有办公外设的默认管理员密码,使用与核心系统一致的密码复杂度策略。第三,定期更新打印机固件,关注设备厂商发布的安全公告并及时安装补丁,尤其是涉及远程代码执行和权限提升的补丁必须优先处理。第四,关闭打印机上不必要的网络服务和端口,仅保留网络打印、扫描等必要功能,禁用远程管理协议和文件共享功能。如果确实需要远程管理,应将其限制在管理VLAN中并通过VPN访问。第五,在网络层面对打印机进行隔离部署,将打印机划分到独立的VLAN中,严格控制其与其他网络区域的通信策略,防止打印机被作为内网攻击的跳板。在数字化办公的今天,每一台联网设备都是企业安全边界的一个端口。打印机、扫描仪、传真机、会议系统、门禁控制器——这些看起来"无伤大雅"的办公外设,可能正是企业安全中最容易被攻破的一环。安全建设不能只盯着那些"看得到的敌人",那些被忽视的角落,往往才是真正的隐患所在。
北京企密安信息安全技术有限公司
/010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
