Tem sido amplamente divulgado que existem cerca de 45 milhões de máquinas de fax em uso no mundo todo hoje. As máquinas de fax são facilmente esquecidas no canto de um escritório, e é exatamente por isso que estão vulneráveis ​​ao risco de serem hackeadas. Infelizmente, embora as máquinas de fax pareçam um dispositivo de comunicação desatualizado, elas ainda são amplamente usadas e conectadas a redes em setores nos quais dados altamente confidenciais são armazenados, como serviços de saúde, bancos e leis. O NHS, por exemplo, usa mais de 9.000 máquinas de fax regularmente. E embora algumas máquinas de fax possam ser “fixo” a fim de evitar hacks, a maioria deles é muito antiga para atualizar.

Não surpreende, portanto, que uma grande vulnerabilidade tenha sido descoberta recentemente pela Check Point Research após a identificação de um erro no multifuncional HP Officejet, bem como em outras máquinas e impressoras. A Check Point Research descobriu que, se esses dispositivos estiverem vinculados à rede de uma empresa, eles poderão invadir a rede de TI e o servidor de uma organização e ter acesso a arquivos e documentos confidenciais..

Com isso em mente, as empresas que ainda usam aparelhos de fax precisam estar cientes dos possíveis riscos, consequências e métodos que podem introduzir para proteger suas máquinas. Aqui está tudo que você precisa saber.

Como funciona o hacking de um aparelho de fax??

A maioria dos aparelhos de fax está hoje integrada em impressoras all-in-one, conectadas à rede Wi-Fi interna da organização e à linha telefônica PSTN. Um hacker pode simplesmente enviar uma imagem especialmente criada, que é codificada para conter um software malicioso na máquina de fax. O aparelho de fax fará seu trabalho e lerá a imagem. A imagem, no entanto, é intencionalmente mal formada, fazendo com que a função de decodificação da imagem (parte do firmware do aparelho de fax) seja interrompida, forçando-a a executar o código do invasor em vez do código do firmware. Isso, por sua vez, permitirá que o invasor tenha controle total sobre o aparelho de fax.

Isso é muito sério, pois agora o invasor tem acesso à mesma rede interna na qual o dispositivo está conectado por meio de sua conexão WiFi ou Ethernet e não haverá firewalls (e provavelmente nenhum IDS) que protejam o segmento de rede. E isso tornará muito mais fácil para o atacante espalhar suas ferramentas de ataque e código malicioso para os computadores e dispositivos na rede ou apenas para ouvir o tráfego interno na esperança de obter dicas e dicas sobre outros alvos interessantes em a rede da organização.

E quem sabe que tipos de documentos confidenciais serão enviados para aquela impressora específica nesse meio tempo ...

Quão grande é o risco?

O risco de ser hackeado é um pouco amplificado porque a maioria dos firmwares (uma classe específica de software) nesses dispositivos foi escrita, como você pode imaginar, muitos anos atrás, quando as pessoas ainda desconheciam possíveis malwares e ataques cibernéticos, muitas vezes pensando “por que alguém me enviaria um fax malformado ou atacaria meu aparelho de fax?”

Métodos de teste avançados, como analisadores de código-fonte e fuzzers de protocolo, não estavam disponíveis ou eram geralmente usados ​​pelos fornecedores no momento e, provavelmente, ainda não são por alguns fornecedores. Também é muito desafiador detectar a primeira fase de um ataque se a linha telefônica PSTN for usada como vetor de ataque, pois não há firewalls, IDSs, etc., que possam proteger sua linha PSTN. Detectar as fases restantes também pode ser difícil, pois o dispositivo comprometido estará agora direcionando outros dispositivos para a mesma rede, tornando-se uma ameaça interna. Embora soluções de segurança de terminais e IDS possam resolver pelo menos parte do problema.

Como você protege seu aparelho de fax??

Isso é fácil, despejá-los. salte em seu DeLorean (o carro de Back To The Future para aqueles que não sabem) e volte para o tempo presente! Se você não estiver disposto a fazer isso, deve separar as máquinas de fax da rede e / ou aumentar seus recursos de detecção. Embora uma linha PSTN ainda possa ser um desafio, vale a pena usar uma solução de segurança de endpoint ou IDS. Estes, é claro, só funcionarão contra vulnerabilidades e assinaturas conhecidas e não serão de forma alguma suficientes por si só. Uma abordagem mais avançada seria, por exemplo, investigar soluções de segurança baseadas em fraudes - usando iscas, seja usando máquinas de fax ou outros alvos interessantes em sua rede. Por exemplo, você pode atrair os invasores e ser notificado imediatamente quando estiver sendo hackeado.

Em segundo lugar, a segurança do perímetro não é suficiente! Estes são apenas dispositivos adicionais e softwares que são tão vulneráveis ​​quanto qualquer outra coisa. E não cobrirá as linhas PSTN. Soluções mais avançadas são necessárias, por exemplo, certifique-se de que seu fornecedor usa métodos proativos em seus testes de produtos (fuzzing, analisadores de código, analisadores binários etc.). Verifique quando foi a última vez que você obteve a lista de materiais do seu software ou fornecedor do produto (deixe-me adivinhar - nunca!). Além disso, olhe para novas áreas de segurança: engano e engodos, como dito acima. Isso realmente levaria os recursos de detecção para o próximo nível, abrangendo também os cenários de ameaças internas..

Apesar da vulnerabilidade e do risco de invasão, a realidade é que há uma infinidade de outras formas de explorar uma empresa, por ex. ataques internos, dispositivos maliciosos USB (memória) e novos malwares com carga criptografada (com abordagens inovadoras como o DeepLocker) que podem permitir que invasores direcionem a intranet diretamente ignorando a segurança do perímetro. Além disso, a descoberta da Check Point Research referia-se apenas a um firmware da impressora all-in-one antiga e a reprodutibilidade era incerta.

Concentrar-se em demasia em vetores de ameaça específicos corre o risco de estreitar demais o foco, tornando o defensor cego para o quadro maior. Uma organização madura de segurança centrada no risco terá as ferramentas certas para tornar esses ataques ineficazes..

Juha Korju, CTO da Aves Netsec

  • Confira também nosso resumo das melhores impressoras