Chỉ với số máy fax của bạn, điều gì tối đa một kẻ tấn công từ xa có thể làm?
Tin tưởng rằng nó hay không là tùy bạn, nhưng số fax của bạn là thực sự đủ cho một hacker để chiếm quyền kiểm soát hoàn toàn trên máy in và có thể xâm nhập phần còn lại của hệ thống mạng kết nối với nó.
Các nhà nghiên cứu tại Check Point vừa mới phát hiện ra chi tiết về hai lỗ hổng thực thi mã từ xa nghiêm trọng (RCE) mà họ phát hiện ra trong các giao thức truyền thông được sử dụng trong hàng chục triệu máy fax trên toàn cầu.
Với hơn 300 triệu số fax và 45 triệu máy fax được sử dụng trên toàn cầu, Fax vẫn phổ biến trong nhiều tổ chức kinh doanh, nhà quản lý, luật sư, ngân hàng và các công ty bất động sản.
Vì hầu hết các máy fax ngày nay được tích hợp vào máy in all-in-one, kết nối với mạng WiFi và đường dây điện thoại PSTN, kẻ tấn công từ xa chỉ cần gửi một tệp hình ảnh được xử lý đặc biệt qua đường truyền fax là có thể khai thác được những lỗ hổng này và nắm quyền kiểm soát mạng doanh nghiệp hoặc mạng gia đình.
Những gì kẻ tấn công cần để khai thác các lỗ hổng này là số Fax, những số fax này có thể dễ dàng tìm thấy một cách đơn giản bằng cách duyệt một trang web của công ty hoặc yêu cầu trực tiếp.
Faxploit Attack – Video trình diễn
Được gọi là Faxploit, kiểu tấn công này liên quan đến hai lỗ hổng tràn bộ đệm – một tác nhân kích hoạt khi phân tích cú pháp các dấu COM (CVE-2018-5925) và một lỗi do ngăn xếp khác xảy ra trong khi phân tích các dấu DHT (CVE-2018-5924), các lỗi này tạo điều kiện cho thực thi mã từ xa.
Để chứng minh cuộc tấn công, Yaniv Balmas, trưởng nhóm nghiên cứu Malware của Check Point và nhà nghiên cứu bảo mật Eyal Itkin đã sử dụng các máy in HP Officejet Pro All-in-One phổ biến – máy in HP Officejet Pro 6830 và OfficeJet Pro 8720.
Như được trình bày trong video trên, các nhà nghiên cứu gửi một tệp hình ảnh được tải cùng với gói tin độc hại qua đường dây điện thoại, và ngay sau khi máy fax nhận được, hình ảnh được giải mã và được tải lên bộ nhớ của máy in fax.
Trong trường hợp của họ, các nhà nghiên cứu đã sử dụng các khai thác EternalBlue và Double Pulsar do NSA phát triển, đã bị rò rỉ bởi nhóm Shadow Brokers và đứng sau vụ ransomware WannaCry phát tán toàn cầu vào năm ngoái, để tiếp quản máy kết nối và tiếp tục lan truyền mã nguy hiểm thông qua mạng .
“Không sử dụng gì ngoài đường dây điện thoại, chúng tôi có thể gửi một bản fax có thể kiểm soát hoàn toàn máy in, rồi sau đó lan truyền gói tin của chúng tôi trong mạng máy tính có quyền truy cập được tới máy in đó”, nhà nghiên cứu cho biết.
“Chúng tôi tin rằng nguy cơ bảo mật này nên được cộng đồng đặc biệt chú ý, đặc biệt là cần thay đổi cách kiến trúc mạng hiện đại xử lý máy in và máy fax trong mạng.”
Theo các nhà nghiên cứu của Check Point, những kẻ tấn công có thể mã hóa tập tin hình ảnh với phần mềm độc hại bao gồm cả phần mềm ransomware, công cụ khai thác tiền điện tử hoặc các công cụ giám sát, tùy thuộc vào mục tiêu quan tâm và động cơ của chúng.
Các nhà nghiên cứu của Check Point đã có trách nhiệm tiết lộ những phát hiện của họ với Hewlett Packard, điều này đã nhanh chóng sửa các lỗ hổng trong các máy in all-in-one của họ và triển khai các bản vá lỗi phần cứng. Bản vá có sẵn trên trang hỗ trợ của HP.
Tuy nhiên, các nhà nghiên cứu tin rằng các lỗ hổng tương tự cũng có thể tác động đến hầu hết các fax trên nền tảng máy in all-in-one được bán bởi các nhà sản xuất khác và các hệ thống fax khác, chẳng hạn như dịch vụ fax-to-mail, máy fax độc lập, và nhiều hơn nữa.
Nguồn: Hackers can compromise your network just by sending a Fax
Người dịch: Trần Việt Đức Nguyên
Visits: 298
