Dua kerentanan yang baru ditemukan dalam protokol fax dapat mengubah mesin fax menjadi titik masuk bagi peretas ke dalam jaringan perusahaan, dua peneliti Check Point mengungkapkan pekan lalu dalam pembicaraan yang diberikan pada konferensi keamanan DEF CON 26 yang diadakan di Las Vegas.
Dinamakan “Faxploit,” serangan ini menargetkan protokol fax ITU T.30, menurut salinan presentasi DEF CON yang diberikan oleh Eyal Itkin dan Yaniv Balmas.
Lebih spesifik lagi, Faxploit memanfaatkan dua buffer overflow dalam komponen protokol fax yang menangani DHT dan COM markers — CVE-2018-5924 dan CVE-2018-5925.
Mesin fax digunakan sebagai titik masuk ke jaringan perusahaan
Itkin dan Balmas mengatakan bahwa penyerang dapat mengirim gambar fax berbahaya ke mesin fax yang berisi kode yang mengeksploitasi dua kerentanan ini dan kemudian mendapatkan remote code execution melalui perangkat yang ditargetkan, memungkinkan peretas menjalankan kodenya sendiri dan mengambil alih mesin.
Dari sini, mereka mengatakan bahwa penyerang dapat mengunduh dan menyebarkan alat peretasan lainnya yang memindai jaringan lokal dan membahayakan perangkat di sekitar.
Kedua peneliti telah merekam demo serangan Faxploit yang mempengaruhi mesin fax dan kemudian menggunakan mesin ini untuk mengunduh dan menyebarkan eksploitasi EternalBlue yang menginfeksi komputer terdekat yang diekspos melalui protokol SMB.
Faxploit dilakukan melalui saluran telepon, bukan koneksi Internet
Itkin dan Balmas mengatakan serangan Faxploit sangat sederhana, karena hacker hanya membutuhkan nomor fax korban untuk menargetkan organisasi.
Karena sebagian besar organisasi mencantumkan nomor fax di situs web mereka, dan Google telah mengindeks lebih dari 300 juta nomor fax, peretas dapat menggunakan Faxploit untuk menargetkan organisasi apa pun di seluruh dunia yang mereka inginkan.
Selain itu, tidak perlu koneksi Internet langsung ke mesin fax yang sebenarnya karena kode penyerangan masuk melalui saluran telepon. Ini juga membuat Faxploit sulit dideteksi, karena tidak ada perangkat lunak keamanan yang memindai fax masuk.
Satu-satunya cara untuk mencegah serangan Faxploit adalah dengan menerapkan patch ke mesin fax individual dan printer kantor all-in-one, yang juga dilengkapi dengan mesin fax tertanam.
Vendor HP merilis patch, vendor fax lainnya rentan
Pada saat penulisan artikel ini, hanya HP yang telah membahas Faxploit. Perusahaan ini merilis patch minggu lalu untuk printer all-in-one HP Officejet, mesin fax yang digunakan peneliti Check Point dalam demo mereka.
Sementara vendor lain masih menguji perangkat mereka dan merilis patch dalam beberapa bulan mendatang, ada juga cara untuk membatasi dampak serangan Faxploit.
Itkin dan Balmas mengatakan pertahanan paling sederhana untuk menetralkan serangan Faxploit adalah segmentasi jaringan. Dengan memecah jaringan perusahaan besar menjadi jaringan yang lebih kecil atau dengan mengisolasi mesin fax pada subjaringan mereka sendiri, perusahaan dapat membatasi jenis data yang dapat diakses oleh penyerang melalui serangan ini.
