На конференции DEF CON, прошедшей в Лас-Вегасе, специалисты Check Point рассказали о проблеме Faxploit. Такое название получила атака на протокол для факсов ITU T.30, с помощью которой преступники могут проникнуть в сеть компании или организации. Для использования проблемы злоумышленнику необходимо лишь найти номер факса организации, который обычно находится в свободном доступе на корпоративном сайте, и затем отправить специально созданный файл изображения по факсу.
Нужно отметить, что несмотря на статус устаревшей технологии, в мире все еще используется более 45 миллионов факсимильных аппаратов, с помощью которых ежегодно распространяется около 17 млрд сообщений. Факс по-прежнему широко применяется в таких сферах, как здравоохранение, право, финансы и недвижимость. Многие организации хранят и обрабатывают огромные объемы конфиденциальных персональных данных с их помощью. Даже обычным поиском в Google можно найти более 300 миллионов номеров факсов.
Faxploit эксплуатирует две проблемы переполнения буфера (CVE-2018-5924 и CVE-2018-5925) в составе протокола для факсов. Они позволяют встроить вредоносный код в изображения, которые факсимильный аппарат декодирует и загружает в свою память, а затем эта малварь распространяется по сетям, к которым подключено устройство. Таким образом, атакующий добивается удаленного исполнения произвольного кода, и может распространить в сети организации любое вредоносное ПО: программы-вымогатели, майнеры или спайварь.
Видео ниже демонстрирует Faxploit в действии. В этом примере эксперты используют найденные баги для загрузки и деплоя известного эксплоита EternalBlue, который способен заражать «соседние» машины посредством SMB.
Специалисты CheckPoint продемонстрировали уязвимости популярных МФУ HP Officejet Pro. Однако те же протоколы используются многими другими факсимильными аппаратами, других производителей (включая Canon и Epson), и весьма вероятно, что они подвержены таким же проблемам. Популярные онлайн-службы факсов, такие как fax2email, тоже используют эти протоколы, что делает и их уязвимыми для атак с помощью описанного метода.
«Многие компании даже не знают, что к ним подключен факсимильный аппарат, но возможности факса встроены во многие многофункциональные офисные и домашние принтеры, — отмечает Янив Балмас, руководитель группы исследований по безопасности Check Point Software Technologies. — Наше исследование показывает, как хакеры могут атаковать устройства, безопасность которых зачастую упускается из виду, чтобы получить доступ к сетям и подорвать работу организаций. Крайне важно уделять внимание защите каждого элемента сети, особенно учитывая масштаб современных киберугроз “Пятого поколения”».
После обнаружения уязвимостей, представители CheckPoint сообщили о проблеме компании HP, которая быстро отреагировала и выпустила патчи для обновления ПО.
Исследователи рекомендуют как можно быстрее установить патчи, а также подчеркивают, что атака Faxploit очень опасна, так как факс или МФУ может даже быть не подключен к интернету, атака осуществляется через телефонную линию. Во избежание проблем, эксперты советуют разбивать крупные корпоративные сети на небольшие, изолированные друг от друга сегменты и подсети, таким образом изолируя факсимильные аппараты.