Wyślij faks, by dostać się do firmowej sieci. Firewall nic tu nie pomoże, to atak telefoniczny!
Kiedy ostatni raz wysyłaliście faks? Wydawać by się mogło, żeta opatentowana po raz pierwszy w XIX wieku (sic!) usługa zostałacałkowicie zapomniana. A jednak wciąż faksy odgrywają ważnąrolę w biznesie, służąc do przesyłania na odległość ważnych,podpisanych już umów. W niektórych państwach, na czele z Japonią,cieszą się też sporą popularnością wśród użytkownikówindywidualnych, są wykorzystywane w handlu detalicznym. Teraz zaśznów zaczną się cieszyć popularnością wśród hakerów,ponieważ jak ujawniono na ostatniej konferencji DEF CON w Las Vegas,posłużyć mogą jako punkty wejścia do korporacyjnych sieci.
W indeksie Google’a znajduje się obecnie ponad 300 milionównumerów faksów – to spore pole do popisu dla napastników którzyzdecydują się sięgnąć po Faxploit, technikę ataku na protokółT.30, standard Międzynarodowego Związku Telekomunikacyjnego.Pozwalają na nią dwie podatności odkryte przez Eyala Itkina iYaniva Balmasa, badaczy z izraelskiej firmy Check Point. Otrzymałyjuż swoje numerki: CVE-2018-5924 oraz CVE-2018-5925, a dotycząbłędów przepełnienia bufora podczas przetwarzania znaczników DHTi COM.
Atak jest naprawdę interesujący, ponieważ pozwala całkowicieominąć wszelkie internetowe zapory sieciowe. Tu korzystamy zezwykłej sieci telefonicznej! Napastnik wysyła na numer faksu ofiaryodpowiednio spreparowany faks, który pozwala mu przejąć pełnąkontrolę nad urządzeniem.
Hacking the Fax – Ground Breaking New Research in Cyber
Zdobycie takiego przyczółka w korporacyjnej sieci pozwala nabardzo dużo. Dzisiaj w końcu większość firmowych urządzeńfaksowych to wielofunkcyjne maszyny, które służą też jakodrukarki sieciowe i skanery, pracują często pod kontrolą jakiegośLinuksa, dysponują sporą ilością pamięci operacyjnej. Napastnikmoże więc uruchomić na przejętym faksie własny kod – narzędziado skanowania sieci i uruchamiania ładunków niezbędnych doatakowania dalszych hostów.
Eksperci Check Pointa zaprezentowali, jak łatwo było imzaatakować urządzenie HP Office Jet. Nie tylko wgrali na nieobrazek przedstawiający typowego hakera z filmów hollywoodzkich,ale też uruchomili na nich exploit EternalBlue, atakujący wszystkiepodatne komputery w sieci lokalnej poprzez protokół SMB – tensam, który w minionym roku wykorzystany został w masowym atakumalware WannaCry.
Sytuacja dla organizacji korzystających wciąż z faksów jestnieciekawa. Jedynie HP w jakiś sposób zadbało o załatanie maszynz serii Office Jet, wydając łatki na ich firmware. Sprzętpozostałych producentów jest podatny, w praktyce należy dokażdego, kto umie skorzystać z Faxploita i dysponuje numerem faksudanej organizacji.
Administratorom można póki co zalecić tylko jeden środekzaradczy – segmentację sieci lokalnej. Faks powinien działać wewłasnej podsieci, co znacząco ograniczy napastnikom dostęp doinnych komputerów w organizacji.