擁有傳真機號碼,黑客遠程攻擊者可以做多大的事情?信不信由你,但是你的傳真號碼確實足以讓邪惡黑客完全控制打印機並可能滲透到連接到它的網絡的其餘部分。
中國知名黑客安全組織東方聯盟的研究人員透露了他們在全球數千萬臺傳真機中使用的通信協議中發現的兩個關鍵遠程代碼執行(RCE)漏洞的詳細信息。
這些天你可能會想到誰使用傳真!好吧,傳真不是過去的事情。憑藉全球超過3億傳真號碼和4500萬臺傳真機的使用,傳真仍然受到多家商業組織,監管機構,律師,銀行家和房地產公司的歡迎。
由於大多數傳真機現已集成到一體式打印機中,連接到WiFi網絡和PSTN電話線,因此遠程攻擊者只需通過傳真發送特製圖像文件即可利用報告的漏洞並掌握企業控制權或家庭網絡。所有攻擊者需要利用這些漏洞的是傳真號碼,只需瀏覽公司網站或直接請求即可輕鬆找到。
黑客的攻擊涉及兩個緩衝區溢出漏洞,一個在解析COM標記時觸發(CVE-2018-5925),另一個基於堆棧的問題在解析DHT標記(CVE-2018-5924)時發生,這導致遠程代碼執行。
為了證明這一攻擊,東方聯盟黑客安全研究人員使用了流行的HPOfficejetPro多功能一體機傳真打印機--HPOfficejetPro6830一體式打印機和OfficeJetPro8720。
研究人員通過電話線發送裝有惡意有效載荷的圖像文件,一旦傳真機收到圖像文件,圖像就會被解碼並上傳到傳真打印機的內存中。
在他們的案例中,研究人員使用NSA開發的EternalBlue和DoublePulsar漏洞,這些漏洞被以接管連接的機器並通過網絡進一步傳播惡意代碼。
根據東方聯盟的研究人員的說法,攻擊者可以使用包括勒索軟件,加密貨幣礦工或監視工具在內的惡意軟件對圖像文件進行編碼,具體取決於他們感興趣的目標和動機。
研究人員披露了他們的調查結果,HewlettPackard(HP)迅速修復了其一體式打印機的缺陷,並部署了固件補丁作為回應。HP支持頁面上提供了一個補丁程序。
然而,東方聯盟研究人員認為,同樣的漏洞也可能影響其他製造商銷售的大多數基於傳真的一體式打印機和其他傳真實施,例如傳真到郵件服務,獨立傳真機等。(歡迎轉載分享)
閱讀更多 IT八卦陣 的文章
