两位Check Point研究人员上周在拉斯维加斯举行的DEF CON 26安全会议上发表的演讲中透露,传真协议中最近发现的两个漏洞可以将传真机转变为黑客进入企业网络的入口点。
根据Eyal Itkin和Yaniv Balmas上周提供的DEF CON演示文稿的副本,该攻击被命名为“Faxploit”,目标是ITU T.30传真协议。
更具体地说,Faxploit利用传真协议组件中的两个缓冲区溢出,分别处理DHT和COM标记-CVE-2018-5924和CVE-2018-5925。
Itkin和Balmas表示,攻击者可以将格式错误的传真图像发送到传真机,其中包含利用这两个漏洞的代码,然后获得目标设备的远程代码执行权限,允许黑客运行自己的代码并接管机器。
从这里,他们表示攻击者可以下载和部署其他黑客工具,扫描本地网络并危及附近的设备。
两位研究人员记录了一个传真机攻击的演示,该攻击危及传真机,然后使用该机器下载和部署感染通过SMB协议暴露的附近计算机的EternalBlue漏洞。
Itkin和Balmas表示,Faxploit攻击很简单,因为黑客只需要受害者的传真号码来定位组织。
由于大多数组织在其网站上打印传真号码,并且谷歌已经索引了超过3亿个传真号码,黑客可以使用Faxploit来定位他们想要的全球任何组织。
此外,由于攻击代码通过电话线进入,因此实际传真机不需要直接的因特网连接。这也使得几乎不可能阻止Faxploit,因为没有安全软件扫描传入的传真。
防止Faxploit攻击的唯一方法是将补丁应用于单个传真机和一体式办公室打印机,这些打印机还配有嵌入式传真机。
在撰写本文时,只有HP处理过Faxploit。该公司上周发布了针对HP Officejet多功能一体打印机的补丁,这是Check Point研究人员用于录制其演示视频的传真机。
“我们坚信,类似的漏洞也适用于其他传真供应商,因为这项研究总体上涉及传真通信协议,”Check Point今天表示。
但是,虽然其他供应商在未来几个月内测试他们的设备并发布补丁,但如果发生这种情况,还有一种方法可以限制Faxploit攻击的影响。
Itkin和Balmas说,缓解Faxploit攻击最简单的防御就是网络分割。通过将大型企业网络分解为较小的企业网络或通过在自己的子网上隔离传真机,公司可以限制攻击者可以通过此攻击获得访问的数据类型。
领取专属 10元无门槛券
私享最新 技术干货