Se ha informado ampliamente de que actualmente hay alrededor de 45 millones de máquinas de fax en uso en las empresas. Las máquinas de fax se olvidan fácilmente en la esquina de una oficina, razón por la cual son vulnerables al riesgo de ser pirateadas. Desafortunadamente, si bien las máquinas de fax pueden parecer un dispositivo de comunicaciones obsoleto, todavía se usan y se conectan a redes en industrias donde se almacenan datos altamente confidenciales, como salud, banca y leyes. El NHS, por ejemplo, usa más de 9,000 máquinas de fax regularmente. Y aunque algunas máquinas de fax pueden ser “fijo” para evitar piruetas, la mayoría de ellos son demasiado viejos para actualizarlos.

Por lo tanto, no es sorprendente que Check Point Research haya descubierto recientemente una gran vulnerabilidad después de identificar un error en el fax todo en uno HP Officejet, así como en otras máquinas e impresoras. Check Point Research descubrió que si estos dispositivos están vinculados a la red de una empresa, podría permitir que los piratas informáticos ingresen en la red y el servidor de TI de una organización y tengan acceso a archivos y documentos confidenciales..

Teniendo esto en cuenta, las empresas que todavía utilizan máquinas de fax deben ser conscientes de los posibles riesgos, consecuencias y métodos que pueden introducir para proteger sus máquinas. Aquí tienes todo lo que necesitas saber..

¿Cómo funciona la piratería de una máquina de fax??

La mayoría de las máquinas de fax están hoy integradas en impresoras todo en uno, conectadas a la red WIFI interna de la organización y a la línea telefónica PSTN. Un pirata informático puede simplemente enviar una imagen especialmente diseñada, que está codificada para contener un software malicioso a la máquina de fax. La máquina de fax hará su trabajo y leerá la imagen. Sin embargo, la imagen está malformada intencionalmente, por lo que hará que la función de decodificación de la imagen (parte del firmware de la máquina de fax) se interrumpa de tal manera que la obligue a ejecutar el código del atacante en lugar del código del firmware. Esto, a su vez, permitirá al atacante obtener el control total sobre la máquina de fax..

Esto es muy serio, ya que ahora el atacante tiene acceso a la misma red interna donde el dispositivo está conectado a través de su conexión WiFi o Ethernet y no habrá firewalls (y probablemente tampoco IDS) que protejan el segmento de red. Y eso hará que sea mucho más fácil para el atacante difundir sus herramientas de ataque y código malicioso a las computadoras y dispositivos en la red o simplemente escuchar el tráfico interno con la esperanza de obtener pistas jugosas y pistas sobre otros objetivos interesantes en la red de organizaciones.

Y quién sabe qué tipo de documentos confidenciales se enviarán a esa impresora en particular mientras tanto ...

Que tan grande es el riesgo?

El riesgo de ser pirateado se amplifica un poco porque la mayoría de los firmwares (una clase específica de software de computadora) en estos dispositivos se escribieron, como podría imaginar, hace muchos años, cuando las personas aún desconocían el posible malware y los ciberataques, con frecuencia “¿Por qué alguien me enviaría un fax mal formado o atacaría mi máquina de fax??”

Los métodos avanzados de prueba, como los analizadores de código fuente y los fuzzers de protocolo, o bien no estaban disponibles o eran de uso general por parte de los proveedores en ese momento, y probablemente todavía no lo son por parte de algunos proveedores. También es muy desafiante detectar la primera fase de un ataque si la línea telefónica PSTN se usa como el vector de ataque ya que no hay firewalls, IDS, etc., que puedan proteger su línea PSTN. La detección de las fases restantes también podría resultar difícil, ya que el dispositivo comprometido ahora estará apuntando a otros dispositivos en la misma red, convirtiéndose en una amenaza interna. Aunque las soluciones de seguridad de punto final e IDS pueden resolver al menos parte del problema.

¿Cómo proteges tu fax??

Eso es fácil, volcarlos. salta a tu DeLorean (el auto de Back To The Future para aquellos que no lo saben) y regresa a la actualidad. Si no está dispuesto a hacerlo, debe separar las máquinas de fax de la red y / o aumentar sus capacidades de detección. Si bien una línea PSTN puede ser un desafío, vale la pena utilizar una solución de seguridad de punto final o IDS. Estos, por supuesto, solo funcionarán contra las vulnerabilidades y firmas conocidas y no son de ninguna manera suficientes por sí solos. Un enfoque más avanzado sería, por ejemplo, buscar soluciones de seguridad basadas en el engaño, usando señuelos, ya sea utilizando máquinas de fax u otros objetivos interesantes en su red. Por ejemplo, podrías atraer a los atacantes y recibir notificaciones inmediatas cuando te piratean.

En segundo lugar, la seguridad del perímetro no es suficiente! Estos son solo dispositivos y software adicionales que son tan vulnerables como cualquier otra cosa. Y no cubrirá las líneas PSTN. Se necesitan soluciones más avanzadas; por ejemplo, asegúrese de que su proveedor utilice métodos proactivos en las pruebas de sus productos (fuzzing, analizadores de código, analizadores binarios, etc.). Compruebe cuándo fue la última vez que recibió el BOM (lista de materiales) de su proveedor de software o producto (déjeme adivinar, ¡nunca!). Además, busque nuevas áreas de seguridad: engaño y señuelos, como se indicó anteriormente. Esto realmente llevaría las capacidades de detección al siguiente nivel, cubriendo también los escenarios de amenazas internas..

A pesar de la vulnerabilidad y el riesgo de piratería, la realidad es que hay muchas otras formas de explotar una empresa, por ejemplo. ataques internos, dispositivos USB (memoria) maliciosos y nuevos malware con carga útil cifrada (con enfoques novedosos como DeepLocker) que pueden permitir a los atacantes apuntar a la intranet directamente sin pasar por la seguridad del perímetro. Además, el descubrimiento de Check Point Research se refería solo a un antiguo firmware de impresora todo en uno y la reproducibilidad era incierta.

Centrarse demasiado en los vectores de amenaza específicos corre el riesgo de reducir demasiado el enfoque, lo que hace que el defensor quede ciego al panorama general. Una organización de seguridad centrada en el riesgo tendrá las herramientas adecuadas para hacer que dichos ataques sean ineficaces..

Juha Korju, CTO de Aves Netsec

  • También puedes ver nuestro resumen de las mejores impresoras.