打印机也有“隐形”威胁？这些安全漏洞请注意！

中泊研团队 中泊研安全应急响应中心 2024-12-18 03:04

打印机是高校企业不可或缺的办公工具，从最初的单机操作到如今的网络共享打印，其功能和连接方式经历了翻天覆地的变化。
然而，随着网络化程度的提高，打印机的安全问题也逐渐浮出水面。

网络打印的安全隐患

---

---

在追求便捷的同时，我们可能忽视了潜在的风险。如果打印机配置不当或存在安全漏洞，可能会给使用者和整个内网带来严重威胁

• 拒绝服务攻击（DoS）：
导致打印服务无法正常运行

• 特权提升或绕过：
攻击者可能获取管理员权限

• 操作或读取打印内容：
窃取用户打印内容或操控打印作业

• 信息泄露：
泄露用户数据、打印记录等

• 远程代码执行：
攻击者通过漏洞在打印机上执行恶意代码

• 漏洞利用：
针对未修补的安全漏洞进行攻击

网络打印机内部实际上已相当于一台小型服务器，内置操作系统（如精简版Linux
或Android
）和多种服务（如LDAP
、Telnet
、HTTP
等）

复杂的功能设计虽然满足了多种场景的打印需求，但也对设备的管理提出了更高要求

管理不善的风险

---

由于品牌众多、配置复杂，许多打印机在出厂时就启用了所有协议和服务，且缺乏基本的安全防护。这种“即插即用”的设计可能导致以下问题：

• 未限制访问权限：
任何设备均可连接，增加攻击风险

• 默认密码未更改：
易被暴力破解

• 未关闭不必要功能：
如蓝牙、NFC、FTP等服务，扩大攻击面

• 存储隐患：
打印机可能保存打印记录、用户IP地址、通讯录等敏感信息，增加泄露风险

提升打印机安全的管理建议

为降低打印机的安全风险，管理员或相关责任方可采取以下措施：****

加强账户安全

•
为打印机管理员账户及其他相关账户（如文件接收FTP
账户）设置强密码，并定期更新

•
禁用默认账户，避免攻击者利用默认凭据入侵

更新固件与安全配置

•
定期从官方渠道检查并更新打印机固件，确保拥有最新的安全特性

•
对于老款或不支持安全更新的打印机，可通过加装防火墙或仅使用USB
直连打印方式保护其安全

限制访问范围

•
校园宽带内并没有那么安全，建议配置打印机仅允许部分区域访问，设置访问IP
地址段，例如：

-公共区域打印机仅允许局域网访问

-办公室打印机可限制为特定的办公室IP段

•
封禁常用打印服务端口（如515
、631
、9100
）的异常访问，定期检查是否存在不合规代理

关闭不必要的功能和服务

•
遵循“
最小权限原则”
，关闭所有不必要的服务和协议

•
仅在需要时启用低频使用的功能（如FTP
、NFC
等）

防范信息泄露

•
定期清理打印机存储的打印记录，避免敏感信息外泄

•
在清理前备份打印机配置，恢复出厂设置后重新导入配置

•
对存储敏感文件的功能进行关闭或严格限制

用户侧的安全注意事项

---

1、选择可信来源的打印机

• 避免在不受信任的打印机上打印包含敏感信息的文件

• 涉密文件应使用具备相应安全级别认证的打印设备

2、注意U盘和网络连接安全

• U盘打印时，确保设备已杀毒，并以“只读”模式插入打印机。在打印店使用过后，需要进行杀毒，以防将病毒引入自己的电脑

• 网络打印时，注意网页连接是否安全，避免使用代理工具破坏打印机的安全配置

3、遵守打印机使用规范

• 不擅自连接未经授权的网络或设备，避免扩大打印机的攻击面

• 打印完毕后，确认是否有敏感文档遗留在设备存储中