La panique des cyber-hack de fax et notre besoin de solutions de sécurité avancées
NouvellesIl a été largement rapporté que près de 45 millions de télécopieurs sont actuellement utilisés par les entreprises dans le monde. Les télécopieurs sont facilement oubliés dans le coin d'un bureau, c'est pourquoi ils sont exposés au risque d'être piratés. Malheureusement, même si les télécopieurs peuvent sembler être un périphérique de communication obsolète, ils sont encore largement utilisés et connectés à des réseaux dans des industries où des données extrêmement sensibles sont stockées, telles que les soins de santé, les banques et le droit. Le NHS, par exemple, utilise plus de 9 000 télécopieurs régulièrement. Et bien que certains télécopieurs puissent être “fixé” afin d'éviter les hacks, la plupart d'entre eux sont trop vieux pour être mis à jour.
Il n’est donc guère surprenant que Check Point Research ait récemment découvert une vulnérabilité majeure après avoir identifié un bogue dans le télécopieur tout-en-un HP Officejet, ainsi que dans d’autres machines et imprimantes. Check Point Research a découvert que si ces périphériques étaient connectés au réseau d'une entreprise, les pirates informatiques pourraient alors s'introduire dans le réseau informatique et le serveur d'une entreprise et accéder à des fichiers et des documents sensibles..
Dans cet esprit, les entreprises qui utilisent encore des télécopieurs doivent être conscientes des risques potentiels, des conséquences et des méthodes qu'elles peuvent introduire pour protéger leurs ordinateurs. Voici tout ce que vous devez savoir.
Comment fonctionne le piratage d'un fax?
La plupart des télécopieurs sont aujourd'hui intégrés à des imprimantes tout-en-un, connectés au réseau WIFI interne de l'entreprise et à la ligne téléphonique PSTN. Un pirate informatique peut simplement envoyer une image spécialement conçue, codée pour contenir un logiciel malveillant sur le télécopieur. Le télécopieur fera alors son travail et lira l’image. Toutefois, l’image est intentionnellement mal formée, de sorte que la fonction de décodage d’image (composant du micrologiciel du télécopieur) s’interrompt de manière à forcer le code de l’attaquant à exécuter le code. Cela permettra à l'attaquant de prendre le contrôle total du télécopieur..
Cela est très grave, car l'attaquant a désormais accès au même réseau interne que celui où le périphérique est connecté via une connexion WiFi ou Ethernet et aucun pare-feu (ni probablement aucun IDS) ne protégera le segment de réseau. Et il sera ainsi plus facile pour l'attaquant de diffuser ses outils d'attaque et son code malveillant sur les ordinateurs et les périphériques du réseau, ou simplement d'écouter le trafic interne dans l'espoir d'obtenir des indices et des indices juteux sur d'autres cibles intéressantes dans le réseau d'organisation.
Et qui sait quel type de documents confidentiels seront envoyés à cet imprimeur en attendant…
Quelle est l'ampleur du risque?
Le risque d'être piraté est quelque peu amplifié car la plupart des firmwares (une catégorie spécifique de logiciels) sur ces appareils ont été écrits, comme vous pouvez l'imaginer, il y a de nombreuses années, alors que les gens ignoraient encore les logiciels malveillants et les cyber-attaques, pensant souvent “pourquoi quelqu'un m'enverrait-il un fax malformé ou attaquerait-il mon fax??”
Les méthodes de test avancées telles que les analyseurs de code source et les fuzzers de protocole n'étaient pas disponibles ou étaient généralement utilisées par les fournisseurs à l'époque et ne le sont probablement toujours pas. Il est également très difficile de détecter la première phase d’une attaque si la ligne téléphonique PSTN est utilisée comme vecteur d’attaque car il n’ya pas de pare-feu, d’IDS, etc., qui puisse protéger votre ligne PSTN. La détection des phases restantes pourrait également s'avérer difficile, car le périphérique compromis ciblera désormais d'autres périphériques sur le même réseau, devenant une menace interne. Bien que les solutions de sécurité des terminaux et l’IDS puissent résoudre au moins une partie du problème.
Comment protégez-vous votre télécopieur?
C'est facile, jetez-les. sautez dans votre DeLorean (la voiture de Back To The Future pour ceux qui ne savent pas) et retournez dans le présent! Si vous ne le souhaitez pas, vous devez alors séparer les télécopieurs du réseau et / ou renforcer vos capacités de détection. Même si une ligne PSTN peut encore poser problème, il vaut la peine d’utiliser une solution de sécurité des points de terminaison ou un IDS. Bien entendu, ceux-ci ne fonctionneront que contre les vulnérabilités et les signatures connues et ne sont en aucun cas suffisants à eux seuls. Une approche plus avancée consisterait, par exemple, à examiner les solutions de sécurité basées sur la tromperie - en utilisant des leurres, en utilisant des télécopieurs ou d’autres cibles intéressantes de votre réseau. Par exemple, vous pouvez attirer les attaquants et recevoir une notification immédiate lorsque vous êtes piraté.
Deuxièmement, la sécurité du périmètre ne suffit pas! Ce ne sont que des périphériques et des logiciels supplémentaires qui sont aussi vulnérables que tout le reste. Et cela ne couvrira pas les lignes PSTN. Des solutions plus avancées sont nécessaires, par exemple, assurez-vous que votre fournisseur utilise des méthodes proactives lors du test de ses produits (fuzzing, analyseurs de code, analyseurs binaires, etc.). Vérifiez quand la dernière fois que vous avez reçu la nomenclature de votre fournisseur de logiciel ou de produit (laissez-moi deviner - jamais!). En outre, explorez de nouveaux domaines de sécurité: la tromperie et les leurres, comme indiqué ci-dessus. Celles-ci porteraient vraiment les capacités de détection à un niveau supérieur, couvrant également les scénarios de menaces internes..
Malgré la vulnérabilité et le risque de piratage informatique, la réalité est qu’il existe une multitude d’autres moyens d’exploiter une entreprise, par exemple. attaques d'initiés, dispositifs USB (mémoire) malveillants et nouveaux logiciels malveillants dotés d'une charge chiffrée (avec de nouvelles approches telles que DeepLocker) susceptibles de permettre aux attaquants de cibler l'intranet directement en contournant la sécurité de périmètre. De plus, la découverte de Check Point Research ne concernait qu'un ancien micrologiciel d'imprimante tout-en-un, et sa reproductibilité était incertaine..
Trop focaliser sur des vecteurs de menace spécifiques risque de trop réduire le focus, ce qui rend le défenseur aveugle du point de vue global. Une organisation de sécurité mature et centrée sur les risques disposera des outils nécessaires pour rendre ces attaques inefficaces..
Juha Korju, CTO de Aves Netsec
- Consultez également notre tour d'horizon des meilleures imprimantes