電話回線からFaxを通じてローカルネットワークを攻撃する「Faxploit」 22
FAXにセットした紙の両端をくっつけて無限に送るやつとは違う 部門より
ネットワーク接続されたFaxを入り口として、電話回線からローカルネットワークに侵入する攻撃「Faxploit」の仕組みをCheck Pointが解説している(Check Pointブログ、技術詳細、BetaNews)。
Check Pointが使用したのはHPのプリンター(デジタル複合機)で、カラーFax(JPEG)の送受信に対応している。しかし、TIFFデータを使用するモノクロFaxではネゴシエーションでメタデータを決定するのに対し、JPEGの場合はファイルがそのまま送信されるのだという。ITU-Tの標準では受信側でサポートしないJPEGマーカーや特定のJPEGマーカーを削除すべきと規定する一方、特に整合性チェックなどは規定されていないようだ。
Check PointはプリンターのJPEGパーサーで発見したリモートからのコード実行が可能になる2件の脆弱性(CVE-2018-5924、CVE-2018-5925)の1件を利用し、送信したJPEGファイルに格納したペイロードを読み取って実行するエクスプロイトを作成。ペイロードにはプリンターのLCD画面に任意の画像を表示、プリンターにネットワークケーブルが接続されているかどうかのチェック、Shadow Brokersが昨年公開した米国家安全保障局(NSA)のサイバー攻撃ツール「Eternal Blue」と「DoublePulsar」を使用したネットワーク内コンピューターの攻撃といった処理が実装されているとのこと。動画ではネットワーク内のコンピューターから機密情報ファイルを探し出し、攻撃者にFax送信させている。
この脆弱性についてCheck Pointは事前にHPへ報告しており、既にファームウェアのアップデートが公開されている。ただし、同様の脆弱性は他社のプリンターに存在する可能性があるほか、Faxをメールで受信できるサービスや、スタンドアロンのFax専用機にも存在する可能性があるとのことだ。
Re:むかしFAX攻撃なるものを、、、 (スコア:0)
昔、FAXを使っている個人や企業に対し、FAX攻撃なる
いやがらせを行っていたオウム真理教や、今政府与党となっている母体の某学会の
会員の物理行為を思い出したが、今回はよく考えられているなx
すげーわ、暇人め
だれうま (スコア:0)
脆弱性のネーミングが秀逸w
ここまでくると (スコア:0)
インクレディブルマシーンかよ…
まぁできるわな (スコア:0)
カラーFAXか。そんなのあったな。
JPEGってアップデートできない環境だと普通に危険だし、ライブラリ無しで実装を秘匿できるほど簡単でもないし。
必然こうなる。
しかしFAXっていうポイントトゥーポイントでドキュメントを送信するって手法は便利だと思うんだが、インターネット上に広く普及しなかったのはたまたまなのか。
まぁ電話番号のような分かりやすい個人に紐づいたアドレスがないから仕方ない。
挙句メールでBase64と。
それより一言なり書かなきゃいけないのが面倒なのよね。
FAXはFAXで送付状が必要だったりするが。
Re:まぁできるわな (スコア:1)
jpeglib V6系よりも、libtiffの方がいつまでもセキュリティバグの修正を繰り返していたような。
Re: (スコア:0)
むかしさわったときはlibtiffからjpeg6bあたりを呼び出していたような
アメリカ人 (スコア:0)
「え、Faxってこないだスミソニアン博物館で見たアレのこと? この世にネットワーク接続されたFaxなんてまだ存在するの?」
Re:アメリカ人 (スコア:1)
アメリカの企業で働いてますが、さっきオフィスをの複合機をチェックしたら、まだ電話回線繋がっててFAXとして使えましたよ。
オフィスには20台くらいあって、全部チェックしたわけではないけど、多分全部繋がってると思う。
最後にFAXを使ったのは5年前に特許の出願書類にサインしたのを弁理士に送った時以来ですね。
それ以降はスキャンしてPDFにしてメールで送るようになったので使わなくなりました。
同僚数人に聞いてみたけど、最近使ったって人は居なかったですよ。ただ、FAXとして使えるというのはみんな知ってた。
Re: (スコア:0)
ネットワーク経由でFAX送受信とかハイテク過ぎてびびるわ
便利ですよ (スコア:2)
家庭内LAN(DMZ内)に、ブラザー製の電話・FAX・スキャナ・コピー兼用機(複合機)を置いてます。
モノは居間ですが、自室からドキュメントを無線LAN経由でプリントせずにFAXできるので、便利です。
相手がボランティア活動先など、常駐している人がいない
メールチェックする習慣がないと分かっている相手先
など、FAXに頼らざるを得ない場合にすごく便利。
あとはA3プリントができれば文句なしですが、要求を満たすプリンタはそこそこお値段が張るので、プリンタは
B4・A3のみプリンタ専用機(かれこれ15年以上使ってる)、A4はは自室の複合機、FAXは居間の複合機と使い
分けてます。どれかが壊れて修理不能になったら買い換えようと思っています。
…が、どれもなかなか壊れない。なかなか丈夫な奴らです (^^)
死して屍 拾う者なし
Re: (スコア:0)
「ネットワーク接続されたFax」から始まるタレコミに言って
Re: (スコア:0)
本当のアメリカ人「FAX機能も持つ複合機がLANにくっついてない環境があるとかマジ?」
# それに電話回線もくっついてるがメジャーかは知らん
Re: (スコア:0)
> 「え、Faxってこないだスミソニアン博物館で見たアレのこと? この世にネットワーク接続されたFaxなんてまだ存在するの?」
「おいおいジェフ、今だって子供はFAXから出てくるよ」
Re: (スコア:0)
アメリカは世界最大のFAX大国ですよ。
この件を報じたZDNetの記事 [zdnet.com]によると「2015年に実施された調査によると、世界で現在使用されているファックスは約4630万台にのぼり、そのうち1700万台が米国で利用されている」だそうです。
まずは、アメリカが最も進んでいると盲信してしまうのをやめましょう。また、アメリカローカルで起こっていることを「グローバル」と受け止めないようにしましょう。
そうすれば、こんな恥ずかしい勘違いをして、恥の塊のような煽りをしなくて済みますよ。大丈夫、失敗は誰にでもあります。気にしないでね(^^)! 残りの夏休みをエンジョイしよう!
Re: (スコア:0)
なんでただのジョークを、そういうプロパガンダに持っていくかね?気味が悪い。
Re: (スコア:0)
自分が長らく信じてきた間違った情報を否定されたらプロパガンダと言うのは恥ずかしいから辞めなよ、
NECは大丈夫か? (スコア:0)
NECのFAX [necplatforms.co.jp]は家庭向けは販売終わってるけど、法人向けはまだ終わってないよね?
Re: (スコア:0)
法人向けも終わってます [nec.com]よ。
Re: (スコア:0)
機能が残ってるからと言ってそれが積極的に使われていることにはならないし、
かといって海外では最早まったく使われていない(需要がゼロ)ってことにもならないんだが
何を説明して欲しいんだ?
Re: (スコア:0)
日本がFAX社会なのを馬鹿にしてたんでしょ。
話が違う。
Re: (スコア:0)
何が言いたいのかわからないけど・・・。
カラーFAXって昔から規格としては存在したし実装していたメーカーもあったけど、どう頑張っても33.6kbpsのアナログモデム(コンシューマ向けだと14.4kbpsまでのものもある)では通信時間が長くて実用的に使ってる人なんていなかったんじゃないかと。
PDFにしてメール添付する方が速いくらいだし。
あと、文字主体のFAXで使われる文書とJPEG圧縮はそもそも相性が悪すぎる。PDFにするときは色々工夫してるけど。