拥有传真机号码,黑客远程攻击者可以做多大的事情?信不信由你,但是你的传真号码确实足以让邪恶黑客完全控制打印机并可能渗透到连接到它的网络的其余部分。
中国知名黑客安全组织东方联盟的研究人员透露了他们在全球数千万台传真机中使用的通信协议中发现的两个关键远程代码执行(RCE)漏洞的详细信息。
这些天你可能会想到谁使用传真!好吧,传真不是过去的事情。凭借全球超过3亿传真号码和4500万台传真机的使用,传真仍然受到多家商业组织,监管机构,律师,银行家和房地产公司的欢迎。
由于大多数传真机现已集成到一体式打印机中,连接到WiFi网络和PSTN电话线,因此远程攻击者只需通过传真发送特制图像文件即可利用报告的漏洞并掌握企业控制权或家庭网络。所有攻击者需要利用这些漏洞的是传真号码,只需浏览公司网站或直接请求即可轻松找到。
黑客的攻击涉及两个缓冲区溢出漏洞,一个在解析COM标记时触发(CVE-2018-5925),另一个基于堆栈的问题在解析DHT标记(CVE-2018-5924)时发生,这导致远程代码执行。
为了证明这一攻击,东方联盟黑客安全研究人员使用了流行的HPOfficejetPro多功能一体机传真打印机--HPOfficejetPro6830一体式打印机和OfficeJetPro8720。
研究人员通过电话线发送装有恶意有效载荷的图像文件,一旦传真机收到图像文件,图像就会被解码并上传到传真打印机的内存中。
在他们的案例中,研究人员使用NSA开发的EternalBlue和DoublePulsar漏洞,这些漏洞被以接管连接的机器并通过网络进一步传播恶意代码。
根据东方联盟的研究人员的说法,攻击者可以使用包括勒索软件,加密货币矿工或监视工具在内的恶意软件对图像文件进行编码,具体取决于他们感兴趣的目标和动机。
研究人员披露了他们的调查结果,HewlettPackard(HP)迅速修复了其一体式打印机的缺陷,并部署了固件补丁作为回应。HP支持页面上提供了一个补丁程序。
然而,东方联盟研究人员认为,同样的漏洞也可能影响其他制造商销售的大多数基于传真的一体式打印机和其他传真实施,例如传真到邮件服务,独立传真机等。(欢迎转载分享)