本月中，西班牙研究人員Guerrero研究發(fā)現(xiàn)惠普打印軟件JetDirect存在漏洞，使攻擊者可以繞過生物或刷卡的安全保護，訪問部分打印文檔，或通告網(wǎng)絡(luò)對存在漏洞的網(wǎng)絡(luò)打印機造成拒絕服務(wù)攻擊。

JetDirect雖然是惠普設(shè)計的，但是眾多打印機都使用該軟件，包括Canon、Lexmark、Samsung和Xerox。該軟件負(fù)責(zé)處理通過網(wǎng)絡(luò)提交的打印請求。網(wǎng)絡(luò)打印機通過JetDirect協(xié)議，偵聽，接收打印請求數(shù)據(jù)，如下圖所示是通過nmap掃到網(wǎng)絡(luò)打印機的監(jiān)聽端口：

當(dāng)連接到網(wǎng)絡(luò)打印機后，JetDirect會添加額外的信息使得打印機能夠解析打印任務(wù)。此處涉及3個關(guān)鍵概念。

UEL (Universal Exit Language ) ，這些命令通常在發(fā)往打印機的數(shù)據(jù)包的頭和尾，語法形如%-12345X，0x1B表示ESCape

PJL (Printer Job Language )，用于告訴打印機執(zhí)行什么動作，是對PCL的額外支持。

PCL (Printer Control Language )，用于規(guī)范格式化頁面的基本語言?？词侨o害的，但卻成為大多數(shù)解析器和解釋器的漏洞利用代碼。

如下圖所示為典型的打印任務(wù)數(shù)據(jù)包

由于研究者是用西班牙語寫的，注釋只能湊合著看了，想了解具體意思恐怕要看JetDirect官方手冊了：

http://h20000.www2.hp.com/bc/docs/support/SupportManual/bpl13207/bpl13207.pdf

http://h20000.www2.hp.com/bc/docs/support/SupportManual/bpl13211/bpl13211.pdf

通過修改傳入PCL/PJL解析器的tags，攻擊者便可觸發(fā)DoS攻擊。

也許企業(yè)想已經(jīng)有指紋訪問，PINs，密碼，智能卡等等已經(jīng)可以有效保護他們的打印機，但事實上，那些企業(yè)里經(jīng)過深度加密的文檔，一旦發(fā)送到打印機去，便自動失去了保護。攻擊者可以直接訪問或重新打印打印機內(nèi)存內(nèi)的打印任務(wù)。研究人員認(rèn)為以下產(chǎn)品都存在安全漏洞：

Canon, Fujitsu, HP, Konica Minolta, Lexmark, Xerox, Sharp, Kyocera Mita, Kodak, Brother, Samsung, Toshiba, Ricoh, Lanier, Gestetner, Infotek, OCE, OKI

 漏洞一：繞過認(rèn)證

一般企業(yè)打印機都有各種認(rèn)證防止非授權(quán)訪問打印機，如RFID卡，指紋識別，智能卡，LDAP密碼

但事實上通過往打印機的網(wǎng)絡(luò)端口發(fā)送如上所說的特殊數(shù)據(jù)包，即可繞過認(rèn)證使用網(wǎng)絡(luò)打印機。

[[62870]]

結(jié)果如下所示：

分析發(fā)往打印機的文檔可發(fā)現(xiàn)兩個重要label：

1 @ PJL SET JOBNAME = "C: \ Documents and Settings \ Divine \ My Documents \ TU \ TDOC \ cad files \ kapak.dwg Model (1)"

2 @ PJL SET USERNAME = "AAA"

漏洞二：篡改打印任務(wù)Assigning work to system users

進一步利用上面的漏洞，攻擊者可以修改分配到打印任務(wù)label的值。（此處小編理解為使用排隊中的任務(wù)號，打印自己修改的內(nèi)容）

漏洞三：制造拒絕服務(wù)攻擊

如上數(shù)據(jù)包所示，發(fā)送到打印機的數(shù)據(jù)信息，包括決定文檔樣式，文檔格式結(jié)構(gòu)，打印機動作參數(shù)等，都是值得關(guān)注的地方。這些值都會被打印機解析器解釋。因此在這些點上傳入一個不被期望的值，則可造成DoS攻擊。

下面以一段PCL打印指令為例說明：

1 ^[&l7H^[&l-1M^[*o5W^M^C^@^G?^[*o-2M^[*o5W^M^B^@^@^A^[*o5W^K^A^@^@^@^[*o5W^N^C^@^@^E^[*o5W^N^U^@^@^@^[&l110A^[&u600D^[*o5W^N^E^@^S`^[*o5W^N^F^@^[g^[*r4724S^[*g12W^F^_^@^A^BX^BXg # W——配置柵格數(shù)據(jù)命令，如上面的g12W，負(fù)責(zé)設(shè)置顏色深度，垂直和水平分辨率等。

o # W ——配置驅(qū)動命令，如上面o5W，通常用于執(zhí)行設(shè)置打印機的指令，具體可參見每個打印機的配置表單。

& L7H——設(shè)定紙張源，本例子代表自動

& L-1M——Media Type Bond

& L110A——結(jié)合PCL_JENV_CHOU3宏代碼定義紙張的高度

& U600D——表示每英寸PCL的單元數(shù)

修改任意以上的參數(shù)為未預(yù)期值，都可能造成打印機掉線或直接迫使它們需要人工reset。如下圖所示：

漏洞四：觸摸屏

其中一個現(xiàn)代打印機的先進之處就是有一個觸摸屏，通過觸摸屏可以控制一些配置頁面，例如下圖修改FTP服務(wù)的配置。

（原文還有一處通過輸入超長字符串造成DoS攻擊效果）

SANS上周已經(jīng)就此發(fā)出安全警告，以此提醒企業(yè)對網(wǎng)絡(luò)打印機安全的重視。