惠普OfficeJet一體式噴墨印表機的傳真協議存在嚴重漏洞

「用指尖改變世界」

成千上萬的惠普 OfficeJet噴墨印表機在收到惡意傳真後遭受攻擊，使攻擊者得以完全控制目標印表機，並使得印表機成為他們進一步深入網路進行滲透的墊腳石。

在DEF CON上（全球最大的計算機安全會議之一，自1993年6月起，每年在美國內華達州的拉斯維加斯舉辦），Check Point的研究人員公布了惠普旗下OfficeJet一體式噴墨印表機廣泛使用的傳真協議中發現的兩個關鍵漏洞的公開細節。之後惠普公司發布了針對這兩個漏洞的補丁信息（CVE-2018-5925和CVE-2018-5924）。

「只需發送惡意傳真，我們就可以完全控制印表機。這次襲擊不需要任何前提條件的實現，您需要做的就是將惡意傳真發送到印表機，然後您可以控制它了。」Check Point惡意軟體研究團隊負責人Yaniv Balmas說。

雖然近年來傳真機的用戶的數量急劇下降，但醫院和保險公司仍然對它們有所依賴。由於簽名要求和傳送功能的傳真驗證等功能，小範圍內法律行業、銀行和房地產部門也繼續使用傳真機進行一些交易。

「沒有人只擁有一台傳真機。相反，他們擁有一體化印表機。很多一體機都與易受攻擊的網路相連。」Balmas估計目前仍有4600萬台傳真機在使用，其中1700萬台在美國。在一些些處於技術發達的國家，如日本，傳真機仍具有特別的吸引力，其100％的商務組織和45％的私人住宅仍然擁有傳真機。

漏洞與支持Group 3（G3）傳真協議的一體式印表機相關，這是ITU T.30發送和接收彩色傳真標準的一部分。這個標準定義了發送者和接收者所需的基本功能，同時也概述了協議的不同階段。

需要注意的關鍵因素是，儘管今天的大多數攻擊都通過互聯網連接進入組織的網路，但在傳真協議中使用此漏洞，即使完全脫離的網路也很容易受到攻擊。這是因為攻擊是通過一條直到現在被認為是安全的路線引導的，並且不需要應用保護層。攻擊者可以進行多種類型的攻擊，例如竊取文件或篡改傳真內容，方法是用更改後的文件替換收到的文件。

「我們可以通過TCP埠53048向印表機發送一個巨大的XML（> 2GB）來實現此漏洞，從而觸發基於堆棧的緩衝區溢出。利用這個漏洞，我們可以完全控制印表機，這意味著我們可以將其用作調試漏洞。」

專家解釋，在發送傳真時，OfficeJet印表機使用的是TIFF圖像格式。發送方的傳真廣播接收傳真機的.TIFF元數據，以設置傳輸參數，例如頁面大小。根據ITU T.30標準協議，接收方的傳真必須分析元數據以確保數據連續性和安全性。然而，當研究人員發送彩色傳真時，他們注意到發送/接收機器使用的是圖像格式.JPG而不是.TIFF。

當研究人員檢查處理彩色傳真的代碼時，有另一個欣慰的發現：接收到的數據存儲到.jpg文件中時不進行任何檢查。與接收器構建標題的.tiff情況相反，在.jpg情況下，研究者能控制整個文件。當目標印表機收到彩色傳真時，它只是將其內容轉儲到.jpg文件（準確地說是」％s / jfxp_temp％d_％d.jpg「），而不進行任何掃描檢查。

收到彩色傳真數據後，易受攻擊的OfficeJet印表機使用自定義JPEG解析器來解析傳真數據，這意味著開發人員並非使用libjpeg。從攻擊者的角度來看，這是一個意外「驚喜」，因為在複雜的文件格式解析器中相對更容易發現漏洞。

總之，研究人員發現了這個定製. jpeg解析器的兩個漏洞——都是基於堆棧的緩衝區溢出。根據NIST的公共漏洞評分系統，兩者都被評為嚴重，評級分數為9.8 。惠普在其支持頁面上寫道:「惡意製作的文件發送到受影響的設備，可能導致堆棧或靜態緩衝區溢出，從而允許遠程代碼執行。」

安全建議

保護組織免受傳真機攻擊以及許多其他類型攻擊的最佳方法之一是網路分段。網路分段可以提供有效的措施來緩解對網路的下一階段入侵，並通過橫向移動限制攻擊的擴散。無論是通過防火牆還是配置VLAN（區域網），存儲關鍵數據的位置的分段都需要設置規劃，測量部署和不斷調整。

此外，在用戶設備上部署端點保護還可以大大降低未經授權訪問的風險。通過安裝端點保護，安全管理員和家庭用戶可以清楚他們的端點在網路內部和外部都提供了額外的保護層。因此，無論一個組織的用戶在遠程工作時是暴露於各種類型的攻擊，還是通過傳真機通過電話線進行攻擊，用戶的端點本身都可以免受已知和未知威脅的侵害。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！