行业资讯 您所在的位置: 首页 > 新闻中心 > 新闻详情

惠普OfficeJet一体式喷墨打印机的传真协议存在严重漏洞

日期:2018-08-16 09:47:48

成千上万的惠普 OfficeJet喷墨打印机在收到恶意传真后遭受攻击,使攻击者得以完全控制目标打印机,并使得打印机成为他们进一步深入网络进行渗透的垫脚石。

在DEF CON上(全球最大的计算机安全会议之一,自1993年6月起,每年在美国内华达州的拉斯维加斯举办),Check Point的研究人员公布了惠普旗下OfficeJet一体式喷墨打印机广泛使用的传真协议中发现的两个关键漏洞的公开细节。之后惠普公司发布了针对这两个漏洞的补丁信息(CVE-2018-5925和CVE-2018-5924)。

“只需发送恶意传真,我们就可以完全控制打印机。这次袭击不需要任何前提条件的实现,您需要做的就是将恶意传真发送到打印机,然后您可以控制它了。”Check Point恶意软件研究团队负责人Yaniv Balmas说。

虽然近年来传真机的用户的数量急剧下降,但医院和保险公司仍然对它们有所依赖。由于签名要求和传送功能的传真验证等功能,小范围内法律行业、银行和房地产部门也继续使用传真机进行一些交易。

“没有人只拥有一台传真机。相反,他们拥有一体化打印机。很多一体机都与易受攻击的网络相连。”Balmas估计目前仍有4600万台传真机在使用,其中1700万台在美国。在一些些处于技术发达的国家,如日本,传真机仍具有特别的吸引力,其100%的商务组织和45%的私人住宅仍然拥有传真机。

漏洞与支持Group 3(G3)传真协议的一体式打印机相关,这是ITU T.30发送和接收彩色传真标准的一部分。这个标准定义了发送者和接收者所需的基本功能,同时也概述了协议的不同阶段。

需要注意的关键因素是,尽管今天的大多数攻击都通过互联网连接进入组织的网络,但在传真协议中使用此漏洞,即使完全脱离的网络也很容易受到攻击。这是因为攻击是通过一条直到现在被认为是安全的路线引导的,并且不需要应用保护层。攻击者可以进行多种类型的攻击,例如窃取文件或篡改传真内容,方法是用更改后的文件替换收到的文件。

“我们可以通过TCP端口53048向打印机发送一个巨大的XML(> 2GB)来实现此漏洞,从而触发基于堆栈的缓冲区溢出。利用这个漏洞,我们可以完全控制打印机,这意味着我们可以将其用作调试漏洞。”

专家解释,在发送传真时,OfficeJet打印机使用的是TIFF图像格式。发送方的传真广播接收传真机的.TIFF元数据,以设置传输参数,例如页面大小。根据ITU T.30标准协议,接收方的传真必须分析元数据以确保数据连续性和安全性。然而,当研究人员发送彩色传真时,他们注意到发送/接收机器使用的是图像格式.JPG而不是.TIFF。

保护组织免受传真机攻击以及许多其他类型攻击的最佳方法之一是网络分段。网络分段可以提供有效的加密软件措施来缓解对网络的下一阶段入侵,并通过横向移动限制攻击的扩散。无论是通过防火墙还是配置VLAN(局域网),存储关键数据的位置的分段都需要设置规划,测量部署和不断调整。

此外,在用户设备上部署端点保护还可以大大降低未经授权访问的风险。通过安装端点保护,安全管理员和家庭用户可以清楚他们的端点在网络内部和外部都提供了额外的保护层。因此,无论一个组织的用户在远程工作时是暴露于各种类型的攻击,还是通过传真机通过电话线进行攻击,用户的端点本身都可以免受已知和未知威胁的侵害。


新闻中心

联系我们

  • 厦门天锐科技股份有限公司
  • 地址:厦门火炬高新区软件园创新大厦B区7FA单元
  • 电话:+86-0592-2565820
  • 手机:15359886119
  • Q Q:1442489992

主营业务

主营:

加密软件、 天锐数据泄漏智能防护系统、 云文档管理系统、 天锐绿盾信息安全管理平台(简称天锐绿盾)、 天锐绿盾、 文档安全管理、 文件加密、 信息安全解决方案、 图纸加密软件、 电子文档加密

公司简介
    厦门天锐科技股份有限公司(证券代码:838408)是信息安全产品与整体解决方案提供商。公司专注于信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、顾问咨询和技术服务。... [ 更多 ]