Deux vulnérabilités critiques découvertes sur le protocole de communication des fax

Des chercheurs de Checkpoint ont découvert deux vulnérabilités critiques au sein du protocole de communication utilisé par les fax. Les deux vulnérabilités permettent d'exécuter du code de manière distante sur l'équipement cible et ne nécessitent pas de prérequis spécifiques hormis la possession d'une ligne téléphonique afin de pouvoir émettre un fax vers les équipements cibles.

Les deux vulnérabilités sont référencées par les CVE-2018-5924 et CVE-2018-5925. Elles ont toutes les deux un score CVSS v3 de 9.8.

Les deux vulnérabilités résident dans la présence d'un dépassement de tampon pendant la lecture des marqueurs de type COM ou de type DHT lors de la réception d'un fax. En envoyant un fichier spécialement conçu, les imprimantes sont ainsi en mesure d'exécuter du code sur le fax et de pouvoir rebondir sur le réseau interne, si l'équipement n'est pas sur un réseau distinct.

Pour ce faire, une démonstration a été faite par les chercheurs lors de la DEF CON à Las Vegas dimanche dernier sur une imprimante HP Officejet Pro All-in-One, qui est actuellement un des équipements fax le plus répandu. Lors de la réception du fax, du code est exécuté sur l'équipement, et celui-ci va tenter de déployer une charge malveillante sur le poste d'un employé d'une entreprise. La charge malveillante choisie lors de la démonstration était Eternal Blue, un des exploits de la NSA ayant largement servi à la diffusion de nombreux cryptovirus cette année, afin de pouvoir se propager rapidement sur les postes des utilisateurs ou sur les partages réseau. Une vidéo récapitulative de l'attaque est disponible ici.

Un attaquant ayant préalablement plusieurs numéros de fax sur des sites institutionnels serait donc en mesure d'effectuer une attaque massive pour tenter de gagner des accès sur des ressources sensibles au sein de réseaux d'entreprise. Les chercheurs recommandent donc de placer les imprimantes et les fax sur des réseaux distincts afin de mitiger les risques et de maintenir les équipements à jour en matière de micrologiciel et de correctifs de sécurité. Des correctifs sont d'ailleurs d'ores et déjà disponibles pour les équipements concernés.