Hackers kunnen in bedrijfsnetwerk inbreken via faxnummer

Onderzoekers van Check Point hebben nieuwe kwetsbaarheden in de communicatieprotocollen van faxapparaten blootgelegd. Zo wordt de vergeten fax op kantoor een potentiële toegangspoort voor hackers om op het netwerk in te breken.

Hoewel faxapparaten een ding van het verleden lijken, worden ze nog altijd actief gebruikt in verschillende bedrijfssectoren. Denk onder meer aan banken, notariaat en healthcare, waar door de aard en gevoeligheid van gegevens die worden verwerkt, nog vaak de voorkeur uitgaat naar deze ouderwetse werkmethode.

Volgens een studie uit 2015 zijn er wereldwijd nog 46,3 miljoen faxapparaten actief en worden jaarlijks 17 miljard faxberichten gestuurd. De reële cijfers liggen vandaag wellicht iets lager, maar het toont aan dat de fax nog altijd springlevend is. Toch is er nauwelijks aandacht voor de veiligheid van fax. Daarmee vormt het een potentieel beveiligingsrisico in het kantoor.

Faxploit

Onderzoekers Yaniv Balmas en Eyal Itkin van Check Point ontdekten verschillende nieuwe kwetsbaarheden in de protocollen van fax, waarmee een hacker zich ongeoorloofde toegang tot een netwerk kan verschaffen. De onderzoekers presenteerden hun bevindingen op hackersconferentie Def Con in Las Vegas.

Al wat een aanvaller nodig heeft is het faxnummer van zijn slachtoffer. Dat is niet zo moeilijk te achterhalen; vaak staat het nummer vermeld op de website van een organisatie of kan het bij simpel verzoek worden opgevraagd.

 

faxploit attack flow
Beeld: Check Point

Vervolgens kan een afbeeldingsbestand worden gecodeerd met malware (zoals ransomware, een cryptominer of spyware) en doorgestuurd naar het doelwit. Door een fout in de communicatieprotocollen van het faxapparaat wordt de malware ontcijferd en geüpload naar het geheugen. Als het faxapparaat in het netwerk is opgenomen, kan de malware zich van daaruit naar andere systemen verspreiden.

Serieuze bedreiging

Balmas en Itkin gebruikten een HP Officejet Pro 6830 en Officejet PRo 8720 voor hun onderzoek, beide all-in-one printers met faxfunctionaliteit. Ze benadrukken dat ook multifunctionals en faxapparaten van andere fabrikanten waarschijnlijk kwetsbaar zijn, evenals online faxdiensten zoals fax2email.

“Deze nieuwe aanvalsvector vormt een serieuze bedreiging voor organisaties die zich mogelijk niet bewust zijn van hoe toegankelijk hun hele netwerk is en hoe al hun meest gevoelige informatie kan worden blootgesteld via een apparaat dat op de plank ligt stof te verzamelen”, besluiten de onderzoekers.

HP werd van de bevindingen op de hoogte gebracht en rolde reeds een firmwarepatch uit.