打印机威胁：嵌入式Web服务有安全问题

  如今大多数打印机、扫描仪，以及VoIP系统等设备都会内建嵌入式的Web服务，这主要是为了方便管理。然而不幸的是，这些设备大多会因为设置问题而处在无保护状态下。有些服务甚至可使用默认的账号和密码访问，甚至根本没有作任何保护。更糟的是，错误的设置有可能会让嵌入式Web服务面向外部开放，致使资料外洩。

    以上就是Michael Sutton在“美国黑客年会2011”上所作的简报内容。他谈到了嵌入式Web服务，以及在互联网上有许多具有可被公开访问的嵌入式Web服务所带来的潜在威胁。

    例如，HP扫描仪的Web Scan主要是为了提供远程文件扫描功能，这个功能可让人在远方那个经过网络读取扫描仪内放置的文件。远程用户也能够调整设置，让扫描过的文件自动传送到指定地址，或经过互联网下载最近扫描文件的副本。打印机一样能够容许没有密码保护的FTP访问，让恶意用户能够很轻易地将恶意文件储存到打印机内。最后，Michael还发现了一些VoIP系统处于开放状态，并展现了如何轻松地得到电话交谈的录音。

    经过网页访问设备

    你也许会认为，就算有这样的设备，它们也不会被外部访问，或者自己数量就不太多。嗯，我本来也是这样认为。可是在Michael的简报过程当中，他经过SHODAN（shodanhq.com）作了一个简单的网页表头扫描，结果显示在公开网络上有数以百计的嵌入式Web服务处于开放状态。

    这很危险，由于大多数人甚至不知道本身的设备上有一个开启着的Web服务。所以在不知情的情况下，在他们的网络里留下了漏洞。此外Michael还在他的白皮书内指出：“普通的弱点扫描对这类风险是不够的，由于大多数网页弱点扫描都针对应用服务网页服务器，而不是嵌入式网页服务器。嵌入式网页服务器一般能够被识别出来，可是会和其余网页服务器混杂在一块儿。所以通常注重XSS或SQL注入攻击的安全审核将不会有效果，由于在嵌入式网页服务器上并无执行基本测试，例如检查密码强度或开放有风险的功能等。”

    做为预防措施，建议用户检查可能有嵌入式网页服务器的网络设备，并确保不会开放给外部网络。同时也建议关闭某些具备潜在风险和不须要的功能。最后，必定要更改服务器的默认密码，由于默认密码基本上就等于没有密码。

    编后语：看到这篇文章的网友、读者能够去看看本身公司的打印机、扫描仪是否使用的是默认账号和密码，若是是的话，去提醒下单位的系统管理人员吧。