在DEF CON 2018上,安全研究人员展示了他们如何通过利用HP OfficeJet All-in-One打印机中的漏洞来渗透网络。 研究人员Eyal Itkin和Yaniv Balmas将其命名为“ Faxploit”,该攻击在OfficeJet打印机使用的传真协议的实现中涉及安全漏洞。
[阅读:北美安全领域的持续威胁和普遍威胁]
您需要了解有关Faxploit的信息: Faxploit涉及哪些漏洞?
Faxploit在OfficeJet打印机的所有版本和型号的传真协议的实现中都涉及堆栈溢出漏洞。 这意味着在正在运行的软件上存储数据的结构很容易被重载,从而可能导致崩溃。 攻击者可以以此为切入点,以访问或提升与之连接的网络和系统上的特权。
Itkin和Balmas在DEF CON上演示了这一点,方法是发送特制的传真,其中包含利用安全漏洞的数据,使他们能够将打印机用作连接到所连接网络的门户。
HP已发布针对漏洞的补丁程序(CVE-2018-5924和CVE-2018-5925),建议用户应用固件更新。
[阅读:威胁情报如何帮助组织更好地应对攻击] Faxploit有什么影响?
据报道,传真号码是利用这些漏洞并劫持与其连接的网络和系统并用恶意软件感染它们或窃取数据所需要的。 在他们的演讲中,研究人员利用EternalBlue入侵了连接到易受攻击的网络的系统,并从其中窃取了数据。 EternalBlue因被武器化以发出各种威胁而臭名昭著,包括WannaCry / WCry和Petya / NotPetya勒索软件,无文件加密货币挖矿恶意软件以及Retefe银行木马。
尽管传真机对许多人来说似乎已经成为过去,但它们仍然无处不在。 实际上,有82%的接受调查的组织表示2017年传真使用量有所增加,并且传真机仍被广泛使用,尤其是在医疗保健行业。 另外,当今世界上许多企业使用的打印机都具有传真功能。
[阅读:数据泄露如何突出显示对托管检测和响应的需求] 托管检测和响应如何解决诸如Faxploit的威胁?
Faxploit是不安全的设备如何扩大组织的攻击面的另一个示例。 物联网(IoT)设备(例如打印机,路由器,甚至连互联网的扬声器)始终处在攻击者的视线内–是用于僵化其他设备并发动其他攻击,还是用作躲避和躲避的方式 检测。
例如,对于Crysis勒索软件,该恶意软件会将特洛伊木马程序注入连接的设备(如打印机和路由器)中。 这使攻击者可以重新获得对系统的访问并重新感染系统,这可能会给补救带来挑战。 另一个例子是销售点恶意软件,该恶意软件被设计为尽可能长时间保存,以窃取更多支付卡数据。
实际上,高级威胁可能会影响可能没有保护措施的设备(例如打印机和扫描仪),使它们在检测和清除之前可以长期驻留。 而且,隐身恶意软件的生存时间越长,对其造成的损害就越多。
[阅读:什么是托管检测和响应以及它如何帮助企业]
企业有效的策略是将网络流量与端点活动进行主动关联,这是托管检测和响应(MDR)可以提供的功能,尤其是对于没有时间,资源和专职安全团队来主动监视其在线场所的组织。 主动威胁关联有助于确定恶意软件的隐藏位置,其感染系统的方式以及是否具有其他有效负载,还可以帮助确定攻击是否影响了与其连接的设备,从而可以及时进行补救。
趋势科技的托管检测和响应服务使客户能够调查安全警报,而无需雇用合格的事件响应人员。 它为趋势科技客户提供警报监视,警报优先级划分,调查和威胁搜寻服务。 通过将人工智能模型应用于客户端点数据,网络数据和服务器信息,该服务可以关联高级威胁并确定其优先级。 趋势科技威胁研究人员可以确定攻击的程度和传播范围,并与客户合作以提供详细的补救计划。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
