一台”寡言的打印机”引发的勒索噩梦

2019年深秋，望京某科技公司的IT掌管人老周接到销售团队的垂危电话——所有打印机同时”而已工”，屏幕上赫然显示一串加密提醒，要求支付0.5个比特币才给解密密钥。更诡异的是，公司的文件服务器在统一天夜里也出现了异常接见日志。老周排查了整整两天，才发现攻击入口竟然是一台连着网线的网络打印机——它从未被纳入任何安全战术，默认密码admin/123456用了三年，直到那天成为攻击者的跳板。这不是孤例。2022年北京某造作业客户也遭逢了类似场景，打印机被植入挖矿法式，CPU占用率终年跑满，打印速度慢得像蜗牛，运维人员排查了三个月才定位到这台”寡言的终端”。打印机，这个办公室角落里最不起眼的设备，在成为企业内网最脆弱的突破口。

第一路防线：从批改默认密码起头

市面上常见的HP LaserJet、Ricoh MP、Canon imageRUNNER、Xerox WorkCentre等商用机型，出厂默认治理密码通常是admin、123456、空缺或与型号有关的单一组合。企业采购后直接上线使用，密码这事儿一拖就是三五年。我见过最夸大的一家客户，20多台打印机全用一个admin账号，密码写在打印机底部的便签纸上——攻击者只有走进办公区拍张照就能拿到权限。

拿到打印机Web治理界面后，攻击者能做的事远比”偷偷打几张纸”严沉得多：批改DNS指向垂钓服务器、在打印工作中嵌入恶意宏代码、通过IPP和谈抓取打印工作明文数据，甚至利用LDAP配置劫持获取域账户哈希值——这就是驰名的”打印机攻击横向移动”手法。拿到域哈希之后，共同NTLM中继攻击，攻击者能够仿照域控权限，乱杀一片。

安全加固的第一步单一粗鲁：采办或部署新设备后，第一功夫批改所有默认凭证，成立”设备-账号-密码”台账并纳入交代清单。若是你的打印机还挂着默认密码，连忙去改，改完顺手测一下能不能Telnet/SSH登录。pp电子网络设备整包服务里就蕴含了上架前的基础安全加固流程，覆盖这一环节。

SNMP权限：被忽视的谍报通路

打印机的SNMP（单一网络治理和谈）是个好器材，方便IT治理员批量查问设备状态、墨粉余量、纸张容量。但问题在于，默认启用的SNMP v1和v2c和谈没有任何加密，社区字符串（community string）默认是public/private，明文传输，街边轻易一个扫描器扫一扫就能拿到数据。

攻击者通过SNMP能获取的信息蕴含：IP地址、MAC地址、打印机型号、固件版本、已装置的固件？椤⑼缗渲谩⒋蛴』蚕砻，甚至能读取汗青打印工作中残留的敏感信息。某安全团队做过测试，仅凭一个默认的SNMP community string，在内网中探测10分钟就能绘造出齐全的打印机资产拓扑图——蕴含每台设备地点的楼层、所属部门、衔接的互换机端口。这张图对攻击者来说无价之宝，比任何扫描工具都精准。

加固建议：进入打印机治理界面，将SNMP v1/v2c的社区字符串改为至少16位的复杂字符串，或者直接关关SNMP v1/v2c，只保留SNMP v3并启用认证和加密。若是业务系统依赖SNMP监控，务必确认监控平台也同步更新为v3配置。老周后来把公司所有打印机的SNMP community改成了32位随机字符串，他说那天晚上睡得出格踏实。

1. 登录打印机Web治理界面 → 网络设置 → SNMP配置
2. 禁用SNMP v1/v2c或批改community string为强密码
3. 启用SNMP v3并配置认证（MD5/SHA）+加密（DES/AES）
4. 确认所有监控平台使用SNMP v3凭证
5. 定期审计SNMP接见日志，排查异常查问起源

9100端口：藏在角落的定使亘弹

Port 9100是RAW打印和谈（也叫9100打印服务）的默认端口，险些所有网络打印机城市默认监听这个端口。它的益处是传输效能高、兼容性好，打印数据直接发送到9100端口就能出纸；但坏处同样显著——这个端口没有任何认证机造，只有能接见到就能往里面灌数据。

攻击者能够直接向9100端口发送恶意数据触发已知缝隙，或者直接投递嵌入了恶意宏的Office文档、PDF文件。2021年某安全会议上就演示过，通过9100端口向一台未建复缝隙的HP打印机投递特造文档，成功在打印机嵌入式系统上执行肆意代码，进而读取打印机内存中的打印工作数据——蕴含工资条、合同扫描件、机密备忘录。

加固思路有两种：其一，不容9100端口对非授权IP露出，在防火墙或互换机ACL中限造只有打印服务器IP能够接见打印机9100端口；其二，若是业务允许，彻底禁用RAW打印，改用IPP（Internet Printing Protocol，Port 631）或LPD（Line Printer Daemon，Port 515）等更安全的和谈代替。我建议的做法是保留IPP用于Web打印，把9100从防火墙规定里踢出去，只允许特定IP段接见。对于的确必要保留9100的场景，建议通过VPN隧路封装后再传输，别让它裸奔在办公网里。

VLAN隔离：把打印机关进”笼子”里

大无数中幼企业在规划网络时，互换机端口顺手一插，打印机跟员工电脑、服务器混在统一网段里。这种”扁平化”架构方便治理，但也埋下了巨大的横向移动风险。一旦某台打印机被攻破，攻击者立刻就能扫描统一网段的所有设备——SMB共享、RDP服务、数据库端口……全在触手可及的领域之内。

正确的做法是把打印机归入独立的VLAN，与办公终端、业务系统、服务器域彻底隔离。打印流量统一通过一台或几台打印服务器中转，员工电脑只与打印服务器通讯，打印服务器再通过专用VLAN与各楼层、各部门的打印机交互。这样即便某台打印机沦陷，攻击者也只能在打印机VLAN里打转，想往办公网或服务器网渗入，隔着三层路由和ACL，没那么容易。

实操层面，给打印机单独规整齐个VLAN（好比VLAN 30，打印机网段），主题互换机上配置三层路由，办公网到打印机VLAN走ACL白名单战术，只放行打印服务器的IP。有前提的客户还能够启用802.1X认证，让打印机入网也必要身份验证，彻底杜绝私接设备。pp电子 sTrust 零信赖安全规划里就有网络准入节造的齐全实际，能够从底子上管控设备入网安全。

固件升级：别让缝隙一向在那里等着

2022年5月，SentinelLabs披露了影响数十款HP打印机的严沉缝隙（CVE-2022-3942），攻击者只需发送恶意数据包即可远程执行代码，受影响固件版本跨度长达数年。2023年，CISA（美国网络安全和基础设施安全局）更是直接忠告，称主流商用打印机中存在可被利用的RCE缝隙，建议企业立即更新固件。厂商的补丁就在那里，但现实是企衣凤大量打印机跑着三年、五年前的老固件，缝隙从未建复。

固件不更新的原因很现实：打印机不像PC，没有弹窗提醒，升级固件必要手动下载固件包、进入治理界面上传、沉启设备，操作一次耽搁十几分钟的打印服务，好多运维人员嫌麻烦就搁置了。更麻烦的是，某些老型号打印机的固件升级过程中容易犯错变砖，运维人员不敢动。

建议企业成立季度打印机固件巡检机造，登录各品牌官网查问对应型号的最新固件版本和已知缝隙注明（HP有PSRT汇报，Xerox有安全布告），实时测试并部署安全补丁。对于已经终场安全支持的型号（厂商不再颁布补。，列入代替打算，新采购设备优先思考已内置安全启动和自动更新职能的产品。

打印机安全没有银弹，但扭转寡言的被动局面并不难。批改默认密码、收紧SNMP权限、把9100端口藏好、给打印机一个独立的VLAN房间、养成更新固件的习惯——这五件事做下来，通常黑客剧本幼子或许率会绕路走。真正有刻意的APT攻击必要更高成本，而大无数中幼企业的资产价值还不至于让攻击者下这么沉的注。

若是你看完这篇文章，想起公司某台角落里吃灰的老打印机，内心起头发虚——那就去改一改，真的不难。