背景說明
2017年2月中旬校內同仁的辦公室或實驗室陸續發現網路印表機竟然自動列印勒索文件,文件中要求使用者於2017年2月20日以前支付3個比特幣(折合新台幣約11萬元)給駭客組織,否則病毒將透過網路大規模擴散並毀掉個人所有檔案,甚至2017年3月1日將癱瘓整個學校的網路。起初,大家心裡的疑問是印表機也會被綁架勒索嗎?然而透過網路流向分析,研判主因是網路印表機為實體IP位址(Public IP)所致,並且印表機無任何存取控制,從世界各地透過網際網路皆可連線網路印表機列印文件。
因應措施
計資中心除了提供全校使用者網路印表機防護措施及設定說明文件之外,檢測校內使用實體IP之網路印表機,並通知各系所或單位網管同仁協助處理。
預防3月1日可能發生之網路攻擊,啟動DDoS偵測與清洗機制,資安團隊與網路維運團隊到場支援。3月1日過後,並無相關DDoS攻擊或癱瘓學校網路的事件發生,證實為恐嚇事件,但也點出了目前IoT設備可能遭受大量控制與淪為攻擊打手的風險。
網路印表機防護建議措施
- 不使用實體IP位址(如140.112.x.x)改用虛擬IP位址(如10.1.x.x)。如無法避免使用實體IP位址,建議設備前端需有防火牆控管,管制外部IP連線或掃描,阻擋外部存取9100通訊埠。
- 如印表機可設定WEB介面開啟ACL,限制可存取之IP位址。
- 設定網路印表機之強健密碼,以避免駭客取得管理權限遠端安裝攻擊程式,導致印表機成為對外攻擊成員之一。
- 關閉印表機韌體與遠端更新服務RFU (remote firmware update)