Hacked by Fax

Angriffe durch Schwachstellen im Faxprotokoll

| Redakteur: Peter Schmitz

Forscher von Check Point Software konnten Schwachstellen in Faxgeräten ausnutzen um Malware-Angriffe und weitere Attacken auf vernetzte Systeme zu starten.
Forscher von Check Point Software konnten Schwachstellen in Faxgeräten ausnutzen um Malware-Angriffe und weitere Attacken auf vernetzte Systeme zu starten. (Bild: Pixabay / CC0)

Sicherheitsforscher von Check Point Software konnten durch mehrere Schwachstellen in Faxgeräten, Malware-Angriffe starten. Der Eintrittspunkt für Angriffe mit Schadsoftware waren Multifunktionsgeräte mit integriertem Fax wie der HP OfficeJet Pro 6830 oder 8720. Nach Übernahme des Faxes ließen sich weitere Attacken auf vernetzte Systeme starten.

Dem Research-Team von Check Point Software Technologies ist es durch die Ausnutzung von mehreren Schwachstellen in Faxgeräten gelungen, Malware-Angriffe zu starten. In den Beispielen nutzen die Forscher Multifunktionsgeräte mit integriertem Fax wie den HP OfficeJet Pro 6830 oder dem HP OfficeJet Pro 8720. Dabei waren die Geräte nur der Eintrittspunkt für Angriffe mit Schadsoftware. Nach Übernahme des Faxes konnten weitere Attacken auf vernetzte Systeme gestartet werden.

Check Point hat die einzelnen Schritte der Exploit-Chain in einem Bericht dokumentiert. Erster Ansatzpunkt sind die Group 3 (G3) Faxprotokolle nach dem ITU T.30 Standard. Diese werden beispielsweise auch von Onlinefaxservices wie fax2email genutzt und machen diese ebenfalls potenziell angreifbar. Durch Reverse-Engineering der Firmware, Debugging von Prozessen und Anpassung von Schadsoftware demonstrieren die Forscher verschiedene Angriffsmöglichkeiten.

Check Point arbeitet mit mehreren Herstellern an einer Lösung, HP hat beispielsweise schon ein Update bereitgestellt. Weltweit gibt es etwa 46.3 Millionen Faxgeräte und gerade in Deutschland haben viele Unternehmen noch einen Anschluss. Die Nummern sind häufig öffentlich einsehbar. Damit steigt auch die Gefährdung des Einzelnen. Theoretisch ist das Einfallstor nicht auf Devices von HP limitiert, sondern kann auch auf Geräte anderer Anbieter angewendet werden.

Im Detail handelte es sich um gleich mehrere Exploits, bei denen Schadcode über ein manipuliertes Bild in den Speicher des Faxes geladen wird. Von dort kann sich die Malware dann an alle verbunden Geräte verteilen. Mögliche Szenarien sind Attacken mit Ransomware, Kryptominern oder Spyware.

“Jeden Tag werden über 17 Milliarden Faxnachrichten versendet und die meisten Unternehmen haben noch ein Faxgerät an ihre Unternehmens-IT angeschlossen – entgegen seinem Ruf ist das Fax keine veraltete Technologie ohne Nutzerbasis. Besonders im Finanzbereich, dem Gesundheitswesen oder bei rechtsverbindlichen Anliegen werden noch regelmäßig Nachrichten per Fax versendet“, sagt Yaniv Balmas, Group Manager Malware Research bei Check Point. „Neben der Gefahr durch Folgeangriffen auf Netzwerke durchlaufen eine Vielzahl von kritischen Informationen die Faxgeräte. All das kann durch die gefundenen Angriffsvektoren abgegriffen werden.

Check Point rät Unternehmen, die Firmware ihrer Faxgeräte auf Updates zu prüfen und diese zu installieren, falls sie verfügbar sind. Außerdem macht es Sinn, das Fax in einem eigenen Netzwerksegment unterzubringen – ohne Zugriff auf wichtige Informationen und Server mit kritischen Daten.

Update: Der Druckerhersteller HP hat schnell reagiert und eine deutschsprachige Supportseite veröffentlicht, auf der weiterführende Informationen zu nötigen Firmwareupdates zu finden sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45443664 / Sicherheitslücken)