De fax cyberhits schrikken en onze behoefte aan geavanceerde beveiligingsoplossingen
NieuwsEr is veel gerapporteerd dat wereldwijd ongeveer 45 miljoen faxmachines in bedrijven worden gebruikt. Faxmachines worden gemakkelijk vergeten in de hoek van een kantoor, en dat is precies waarom ze kwetsbaar zijn voor het risico om te worden gehackt. Helaas, terwijl faxapparaten een verouderd communicatieapparaat lijken, worden ze nog steeds veel gebruikt en verbonden met netwerken in sectoren waar zeer gevoelige gegevens worden opgeslagen, zoals gezondheidszorg, bankzaken en wetgeving. De NHS gebruikt bijvoorbeeld regelmatig meer dan 9.000 faxen. En hoewel sommige faxmachines kunnen zijn “vast” om hacks te voorkomen, zijn de meeste van hen te oud om zelfs bij te werken.
Het is daarom niet verrassend dat Check Point Research onlangs een grote kwetsbaarheid ontdekte na het identificeren van een fout in de HP Officejet All-in-One fax, evenals in andere machines en printers. Check Point Research ontdekte dat als deze apparaten gekoppeld zijn aan het netwerk van een bedrijf, hackers dan in kunnen breken in het IT-netwerk en de server van een organisatie en toegang hebben tot gevoelige bestanden en documenten.
Met dit in gedachten moeten bedrijven die nog steeds faxapparaten gebruiken zich bewust zijn van de mogelijke risico's, gevolgen en methoden die ze kunnen introduceren om hun machines te beschermen. Hier is alles wat je moet weten.
Hoe werkt het hacken van een faxapparaat??
De meeste faxmachines zijn tegenwoordig geïntegreerd in all-in-one printers, aangesloten op het interne WIFI-netwerk van de organisatie en op de PSTN-telefoonlijn. Een hacker kan gewoon een speciaal vervaardigde afbeelding verzenden, die is gecodeerd om schadelijke software voor het faxapparaat te bevatten. Het faxapparaat doet dan zijn werk en leest de afbeelding. De afbeelding is echter opzettelijk verkeerd ingedeeld, zodat de functie voor het decoderen van afbeeldingen (onderdeel van de firmware van de faxmachine) zodanig wordt afgebroken dat deze de code van de aanvaller moet uitvoeren in plaats van de code van de firmware. Hierdoor kan de aanvaller volledige controle krijgen over het faxapparaat.
Dit is erg serieus, omdat de aanvaller nu toegang heeft tot hetzelfde interne netwerk waar het apparaat is verbonden via de WiFi- of Ethernet-verbinding en er zullen geen firewalls (en waarschijnlijk ook geen IDS) zijn die het netwerksegment beschermen. En dat maakt het voor de aanvaller zoveel gemakkelijker om zijn aanvalsgereedschappen en kwaadwillende code te verspreiden naar de computers en apparaten op het netwerk of om gewoon naar het interne verkeer te luisteren in de hoop op het verkrijgen van sappige hints en aanwijzingen over andere interessante doelen in het organisatienetwerk.
En wie weet welke soort vertrouwelijke documenten ondertussen naar die bepaalde printer worden gestuurd ...
Hoe groot is het risico?
Het risico om te worden gehackt wordt enigszins versterkt omdat de meeste firmwares (een specifieke klasse van computersoftware) op deze apparaten werden geschreven, zoals je je misschien zou voorstellen, vele jaren geleden, toen mensen nog steeds onwetend waren over mogelijke malware en cyberaanvallen, vaak denkend “waarom zou iemand me een ongeldige fax sturen of mijn faxapparaat aanvallen??”
Geavanceerde testmethoden, zoals broncodeanalysers en protocolfuzzers, waren ofwel niet beschikbaar, ofwel in het algemeen door leveranciers op dat moment gebruikt en zijn waarschijnlijk nog niet door sommige leveranciers. Het is ook een hele uitdaging om de eerste fase van een aanval te detecteren als de PSTN-telefoonlijn wordt gebruikt als de aanvalsvector omdat er geen firewalls, IDS's enz. Zijn die uw PSTN-lijn kunnen beschermen. Het detecteren van de resterende fasen kan ook moeilijk zijn, omdat het gecompromitteerde apparaat nu andere apparaten op hetzelfde netwerk zal targeten en een interne dreiging wordt. Hoewel endpoint-beveiligingsoplossingen en IDS mogelijk een deel van het probleem oplossen.
Hoe beschermt u uw faxapparaat??
Dat is gemakkelijk, dump ze. spring in je DeLorean (de auto van Back To The Future voor degenen die het niet weten) en ga terug naar de huidige tijd! Als u dat niet wilt, moet u faxmachines van het netwerk scheiden en / of uw detectiemogelijkheden vergroten. Hoewel een PSTN-regel nog steeds een uitdaging kan zijn, is het de moeite waard om een eindpuntbeveiliging of IDS te gebruiken. Deze werken natuurlijk alleen tegen bekende kwetsbaarheden en handtekeningen en zijn op geen enkele manier voldoende. Een geavanceerdere benadering is bijvoorbeeld om te kijken naar op misleiding gebaseerde beveiligingsoplossingen - door middel van valstrikken, of het nu gaat om faxmachines of andere interessante doelen in uw netwerk. Je zou bijvoorbeeld de aanvallers kunnen lokken en onmiddellijk op de hoogte worden gesteld wanneer je wordt gehackt.
Ten tweede is perimeterbeveiliging niet genoeg! Dit zijn slechts extra apparaten en software die net zo kwetsbaar zijn als al het andere. En het zal de PSTN-regels niet dekken. Er zijn geavanceerdere oplossingen nodig, bijvoorbeeld, zorg ervoor dat uw leverancier proactieve methoden gebruikt bij het testen van hun producten (fuzzing, codeanalysers, binaire analysers, enz.). Controleer wanneer de laatste keer was dat u de stuklijst (stuklijst) van uw software of productverkoper kreeg (laat me raden - nooit!). Bekijk daarnaast nieuwe beveiligingsgebieden: misleiding en lokvogels, zoals hierboven vermeld. Deze zouden de detectiemogelijkheden echt naar een hoger niveau tillen, ook voor insider threat-scenario's.
Ondanks de kwetsbaarheid en het risico van hacking, is de realiteit dat er een overvloed aan andere manieren is om een bedrijf te exploiteren, bijvoorbeeld insideraanvallen, kwaadwillende USB (geheugen) apparaten en nieuwe malware met versleutelde payload (met nieuwe benaderingen zoals DeepLocker) waarmee aanvallers zich kunnen richten op het intranet door de perimeterbeveiliging te omzeilen. Bovendien betrof de ontdekking van Check Point Research slechts één specifieke oude alles-in-één printerfirmware en was de reproduceerbaarheid onzeker.
Door te veel nadruk te leggen op specifieke bedreigingsvectoren bestaat het risico dat de focus te veel wordt verkleind, waardoor de verdediger blind wordt voor het grotere geheel. Een volwassen risicogestuurde beveiligingsorganisatie beschikt over de juiste tools om dergelijke aanvallen ondoeltreffend te maken.
Juha Korju, CTO van Aves Netsec
- Bekijk ook onze verzameling van de beste printers