成千上万的惠普 OfficeJet喷墨打印机在收到恶意传真后遭受攻击，使攻击者得以完全控制目标打印机，并使得打印机成为他们进一步深入网络进行渗透的垫脚石。

在DEF CON上（全球最大的计算机安全会议之一，自1993年6月起，每年在美国内华达州的拉斯维加斯举办），Check Point的研究人员公布了惠普旗下OfficeJet一体式喷墨打印机广泛使用的传真协议中发现的两个关键漏洞的公开细节。之后惠普公司发布了针对这两个漏洞的补丁信息（CVE-2018-5925和CVE-2018-5924）。

“只需发送恶意传真，我们就可以完全控制打印机。这次袭击不需要任何前提条件的实现，您需要做的就是将恶意传真发送到打印机，然后您可以控制它了。”Check Point恶意软件研究团队负责人Yaniv Balmas说。

虽然近年来传真机的用户的数量急剧下降，但医院和保险公司仍然对它们有所依赖。由于签名要求和传送功能的传真验证等功能，小范围内法律行业、银行和房地产部门也继续使用传真机进行一些交易。

“没有人只拥有一台传真机。相反，他们拥有一体化打印机。很多一体机都与易受攻击的网络相连。”Balmas估计目前仍有4600万台传真机在使用，其中1700万台在美国。在一些些处于技术发达的国家，如日本，传真机仍具有特别的吸引力，其100％的商务组织和45％的私人住宅仍然拥有传真机。

漏洞与支持Group 3（G3）传真协议的一体式打印机相关，这是ITU T.30发送和接收彩色传真标准的一部分。这个标准定义了发送者和接收者所需的基本功能，同时也概述了协议的不同阶段。

需要注意的关键因素是，尽管今天的大多数攻击都通过互联网连接进入组织的网络，但在传真协议中使用此漏洞，即使完全脱离的网络也很容易受到攻击。这是因为攻击是通过一条直到现在被认为是安全的路线引导的，并且不需要应用保护层。攻击者可以进行多种类型的攻击，例如窃取文件或篡改传真内容，方法是用更改后的文件替换收到的文件。

“我们可以通过TCP端口53048向打印机发送一个巨大的XML（> 2GB）来实现此漏洞，从而触发基于堆栈的缓冲区溢出。利用这个漏洞，我们可以完全控制打印机，这意味着我们可以将其用作调试漏洞。”

专家解释，在发送传真时，OfficeJet打印机使用的是TIFF图像格式。发送方的传真广播接收传真机的.TIFF元数据，以设置传输参数，例如页面大小。根据ITU T.30标准协议，接收方的传真必须分析元数据以确保数据连续性和安全性。然而，当研究人员发送彩色传真时，他们注意到发送/接收机器使用的是图像格式.JPG而不是.TIFF。

当研究人员检查处理彩色传真的代码时，有另一个欣慰的发现：接收到的数据存储到.jpg文件中时不进行任何检查。与接收器构建标题的.tiff情况相反，在.jpg情况下，研究者能控制整个文件。当目标打印机收到彩色传真时，它只是将其内容转储到.jpg文件（准确地说是”％s / jfxp_temp％d_％d.jpg“），而不进行任何扫描检查，

收到彩色传真数据后，易受攻击的OfficeJet打印机使用自定义JPEG解析器来解析传真数据，这意味着开发人员并非使用libjpeg。从攻击者的角度来看，这是一个意外“惊喜”，因为在复杂的文件格式解析器中相对更容易发现漏洞。

总之，研究人员发现了这个定制. jpeg解析器的两个漏洞——都是基于堆栈的缓冲区溢出。根据NIST的公共漏洞评分系统，两者都被评为严重，评级分数为9.8 。惠普在其支持页面上写道:“恶意制作的文件发送到受影响的设备，可能导致堆栈或静态缓冲区溢出，从而允许远程代码执行。”

安全建议

保护组织免受传真机攻击以及许多其他类型攻击的最佳方法之一是网络分段。网络分段可以提供有效的措施来缓解对网络的下一阶段入侵，并通过横向移动限制攻击的扩散。无论是通过防火墙还是配置VLAN（局域网），存储关键数据的位置的分段都需要设置规划，测量部署和不断调整。

此外，在用户设备上部署端点保护还可以大大降低未经授权访问的风险。通过安装端点保护，安全管理员和家庭用户可以清楚他们的端点在网络内部和外部都提供了额外的保护层。因此，无论一个组织的用户在远程工作时是暴露于各种类型的攻击，还是通过传真机通过电话线进行攻击，用户的端点本身都可以免受已知和未知威胁的侵害。