Référence des ports
Port 515 (TCP) – LPD
Line Printer Daemon — le protocole d'impression réseau historique LPR/LPD utilisé pour mettre en file des travaux vers des serveurs d'impression.
État par défaut
Ouvert sur les serveurs d'impression hérités, les spouleurs Unix et de nombreuses imprimantes/MFP réseau qui exposent encore LPD.
Attaques courantes
- Débordements de tampon dans les implémentations lpd/spouleur (RCE pré-auth historique)
- Soumission de travaux d'impression non authentifiée et abus de file d'attente
- Usurpation de travaux d'impression, DoS par épuisement de papier/toner
- Divulgation d'informations via les données des travaux en file et les bannières
Durcissement
- Désactiver LPD là où IPP (631) ou l'impression sans pilote est disponible
- Restreindre TCP/515 aux serveurs d'impression et clients connus via des ACL
- Corriger le firmware des imprimantes/MFP et le logiciel de spool
- Exiger l'authentification / utiliser un serveur d'impression durci plutôt qu'un accès direct au périphérique
- Ne jamais exposer le 515 à Internet ; segmenter les imprimantes dans leur propre VLAN
Commande nmap
nmap -p515 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui tourne sur le port 515
Le port 515 est le port TCP enregistré pour le Line Printer Daemon (LPD), le côté serveur du protocole d'impression réseau classique LPR/LPD. Les clients se connectent, soumettent un fichier de contrôle et un fichier de données, et le démon met le travail en file vers une imprimante. Il précède de loin les piles d'impression modernes et reste exposé par les spouleurs Unix, les serveurs d'impression hérités et de nombreuses imprimantes réseau et périphériques multifonctions (MFP).
Pourquoi c'est important pour la sécurité
LPD n'a essentiellement ni authentification ni chiffrement. Quiconque peut atteindre TCP/515 peut généralement soumettre des travaux, et historiquement les implémentations de spouleur du protocole ont souffert de graves failles de débordement de tampon, certaines permettant une exécution de code à distance pré-auth. Même sans exécution de code, un LPD ouvert est une cible facile pour les nuisances et l'abus par épuisement de ressources.
Comment c'est attaqué
Les attaques classiques exploitent les débordements de tampon dans le code lpd/spouleur vulnérable pour de l'exécution de code à distance. Plus couramment, les attaquants abusent de l'absence d'authentification pour soumettre des travaux d'impression non authentifiés ou usurpés, saturer les files et épuiser le papier et le toner en guise de DoS. Les données des travaux en file et les bannières du démon peuvent aussi divulguer des informations sur l'environnement.
Liste de durcissement
Quand c'est possible, désactivez LPD et utilisez plutôt IPP sur TLS (port 631) ou l'impression sans pilote. Restreignez TCP/515 aux serveurs d'impression et clients connus avec des ACL, et placez les imprimantes dans un VLAN dédié. Corrigez le firmware des imprimantes et le logiciel de spool, exigez l'authentification via un serveur d'impression durci, et n'exposez jamais le 515 à Internet. Le script de bannière nmap ci-dessus identifie l'écouteur sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- LPD sur le port 515 est-il encore sûr à utiliser ?
- LPD n'a ni authentification ni chiffrement réels et un historique de CVE de débordement de tampon. Préférez IPP sur TLS (631) et limitez le 515 aux seuls serveurs d'impression internes.
- Pourquoi mon imprimante a-t-elle le port 515 ouvert ?
- De nombreuses imprimantes et MFP exposent encore LPD pour la compatibilité avec les clients LPR hérités. Si inutilisé, désactivez-le et gardez le firmware à jour pour éviter l'abus de travaux et les débordements.