เตือนผู้ใช้ HP Enterprise Printer ปิดพอร์ท 9100 หยุดมัลแวร์

Chris Vickery นักวิจัยด้านความปลอดภัยได้ออกมาเตือนผู้ใช้เครื่องปรินท์ของ HP ระดับ Enterprise ว่า ให้ติดตั้งเครื่องปรินท์ไว้ด้านหลังของ Firewall พร้อมทั้งปิดพอร์ท 9100 ให้เรียบร้อย เนื่องจากแฮ็คเกอร์สามารถแอบซ่อนมัลแวร์ไว้ใน HDD ภายในผ่านพอร์ดังกล่าวได้ได้

แอบซ่อนมัลแวร์ไว้ในเครื่องปรินท์ผ่านพอร์ท 9100

เมื่อค้นหาเครื่องปรินท์ HP จาก Shodan เว็บสำหรับค้นหาอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต พบว่ามีเครื่องปรินท์ HP กว่า 21,000 เครื่องที่เปิดพอร์ท 9100 และกำลังออนไลน์อยู่ เครื่องปรินท์เหล่านี้อาจตกเป็นเป้าหมายของแฮ็คเกอร์ในการแอบส่งบางสิ่งบางอย่างเข้ามายัง HDD ภายในผ่านพอร์ท 9100 ได้ เช่น Web Page, Script หรือไฟล์มัลแวร์ เป็นต้น หลังจากอัพโหลดไฟล์เข้าไปแล้ว ไม่ว่าใครก็ตามสามารถเข้าถึงไฟล์ดังดล่าวได้ผ่านทาง http://<IP_ADDRESS>/hp/device/<FILENAME>

ใช้เป็นจุดเริ่มต้นในการแทรกซึม

เครื่องปรินท์เหล่านี้มักเชื่อมต่อกับอินเทอร์เน็ตอยู่ตลอดเวลา จึงเหมาะต่อการเก็บซ่อนไฟล์มัลแวร์เพื่อหลอกให้คนอื่นมาดาวน์โหลด หรือใช้เป็นจุดเริ่มต้นในการแทรกซึมเข้าไปยังระบบเครือข่ายภายในต่อไป นอกจากนี้ บริษัทที่เผลอปล่อยให้เครื่องปรินท์เปิดเผยตัวตนสู่ภายนอกมักจะมีนโยบายรักษาความปลอดภัยและระบบมอนิเตอร์ที่ไม่แข็งแกร่ง ทำให้ตกเป็นเป้าโจมตีของแฮ็คเกอร์ได้ง่าย

HP รับทราบถึงปัญหาและได้ให้คำแนะนำแก่ผู้ใช้เครื่องปรินท์ HP ว่า ให้ยกเลิกการใช้ PJL/PS Filesystem Command หรือเปลี่ยนไปใช้ Internet Print Protocol over HTTPS แทนพอร์ท 9100 และโดยปกติแล้ว ผู้ดูแลระบบควรปิดพอร์ทและโปรโตคอลที่ไม่ใช้ทั้งหมดไม่ให้เข้าถึงได้ อ่านคำแนะนำของ HP ฉบับเต็มได้ที่ http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c03137192-3.pdf

ที่มา: http://www.net-security.org/malware_news.php?id=3196