Faxen cyber hack skrämmer och vårt behov av avancerade säkerhetslösningar
NyheterDet har rapporterats i stor utsträckning att det finns cirka 45 miljoner faxmaskiner som används globalt i företag idag. Faxmaskiner glöms lätt i hörnet på ett kontor, vilket är exakt varför de är utsatta för risken att hackas. Tyvärr kan faxmaskiner som en gammal kommunikationsenhet fortfarande användas och anslutas till nätverk i branscher där mycket känsliga data lagras, till exempel sjukvård, bank och lag. NHS använder till exempel över 9000 faxmaskiner regelbundet. Och även om vissa faxmaskiner kan vara “fast” För att undvika hackar är de flesta för gamla för att även uppdatera.
Det är därför inte överraskande att en stor sårbarhet nyligen upptäcktes av Check Point Research efter att ha identifierat en bugg i HP Officejet allt-i-ett-fax, liksom andra maskiner och skrivare. Check Point Research upptäckte att om dessa enheter är kopplade till ett företags nätverk kan det då tillåta hackare att bryta sig in i en organisations IT-nätverk och server och ha tillgång till känsliga filer och dokument.
Med tanke på detta måste företag som fortfarande använder faxmaskiner vara medvetna om de potentiella risker, konsekvenser och metoder de kan införa för att skydda sina maskiner. Här är allt du behöver veta.
Hur fungerar hacking en faxmaskin?
De flesta faxmaskiner är idag integrerade i allt-i-ett-skrivare, anslutna till organisationens interna WIFI-nätverk och till PSTN-telefonlinjen. En hacker kan bara skicka en speciellt utformad bild, som är kodad för att innehålla en skadlig programvara till faxen. Faxmaskinen gör sedan sitt jobb och läser bilden. Bilden är dock avsiktligt missbildad så att den kommer att göra att bildavkodningsfunktionen (del av faxmaskinens firmware) bryts på ett sådant sätt att det tvingas att utföra angriparens kod istället för koden för firmware. Detta kommer i sin tur att tillåta angriparen att få full kontroll över faxmaskinen.
Detta är väldigt allvarligt, eftersom attackeren nu har tillgång till samma interna nätverk där enheten är ansluten via WiFi eller Ethernet-anslutningen och det kommer inte att finnas brandväggar (och förmodligen ingen IDS) för att skydda nätverkssegmentet. Och det kommer att göra det så mycket lättare för angriparen att sprida sina attackverktyg och skadlig kod till datorerna och enheterna på nätverket eller bara lyssna på den interna trafiken i hopp om att få saftiga tips och ledtrådar om andra intressanta mål i organisationsnätet.
Och vem vet vilken typ av konfidentiella dokument som ska skickas till den specifika skrivaren under tiden
Hur stor är risken?
Risken att hackas förstärks något eftersom de flesta firmware (en särskild klass av datorsoftware) på dessa enheter skrivits, som man kanske föreställde för många år sedan, när människor fortfarande var okunniga om möjlig skadlig kod och cyberattacker, tänkte ofta “varför skulle någon skicka mig ett felaktigt fax eller attackera min faxmaskin?”
Avancerade testmetoder som källkodsanalysatorer och protokollfuzzers var antingen inte tillgängliga eller generellt använda av leverantörer vid den tidpunkten och är förmodligen fortfarande inte av vissa säljare. Det är också mycket utmanande att upptäcka den första fasen av en attack om PSTN-telefonlinjen används som attack vektor eftersom det inte finns några brandväggar, IDS, etc. som kan skydda din PSTN-linje. Detekteringen av de återstående faserna kan också visa sig svår eftersom den kompromitterade enheten nu kommer att rikta in andra enheter i samma nätverk och bli ett internt hot. Även om säkerhetslösningar för slutpunkter och IDS kan lösa åtminstone en del av problemet.
Hur skyddar du din faxmaskin?
Det är enkelt, dumpa dem. Hoppa in i din DeLorean (bilen från Back To The Future för de som inte vet) och gå tillbaka till den nuvarande tiden! Om du inte är villig att göra så ska du separera faxmaskiner från nätverket och / eller öka dina upptäcktskapacitet. Medan en PSTN-linje fortfarande kan vara en utmaning, är det värt att använda en slutpunktsäkerhetslösning eller IDS. Dessa kommer förstås bara att arbeta mot kända sårbarheter och signaturer och är inte på något sätt ensamma. Ett mer avancerat tillvägagångssätt skulle till exempel vara att leta efter bedrägeribaserade säkerhetslösningar - genom att använda deckningar, oavsett om du använder faxmaskiner eller andra intressanta mål i ditt nätverk. Till exempel kan du locka i attackerna och få omedelbar anmälan när du blir hackad.
För det andra räcker inte omkretssäkerheten! Det här är bara ytterligare enheter och program som är lika känsliga som någonting annat. Och det kommer inte att täcka PSTN-linjerna. Fler avancerade lösningar behövs, till exempel se till att din leverantör använder proaktiva metoder vid produkttestning (fuzzing, kodanalysatorer, binära analysatorer etc.). Kontrollera när den sista gången du fick BOM (materialförteckning) från din programvara eller produktleverantör (låt mig gissa - aldrig!). Se vidare på nya säkerhetsområden: bedrägeri och avkok, som ovan nämnts. Dessa skulle verkligen ta detekteringsfunktionerna till nästa nivå och täcker även insider-hotscenarier.
Trots sårbarheten och risken för hacking är verkligheten det finns en mängd andra sätt att utnyttja ett företag, t.ex. insiderattacker, skadliga USB-enheter (minne) och nya malware med krypterad nyttolast (med nya tillvägagångssätt som DeepLocker) som kan göra det möjligt för angripare att rikta intranät direkt kring omkretssäkerheten. Dessutom upptäckte Check Point Research-upptäckten endast en specifik gammal all-in-one-skrivare-firmware, och reproducerbarheten var osäker.
Att fokusera för mycket av specifika hotvektorer löper risken att minska inriktningen för mycket, vilket gör försvararen blind för den större bilden. En mogen riskbaserad säkerhetsorganisation kommer att ha rätt verktyg för att göra sådana attacker ineffektiva.
Juha Korju, CTO av Aves Netsec
- Titta även på vår roundup av de bästa skrivarna