2018.08.14

올인원 프린터에 침투해 데이터를 훔치는 "팩스플로잇" 등장…데프콘 26

Ms. Smith | CSO
올인원 프린터에는 팩스 기능이 있는데, 공격자가 악의적으로 제작된 이미지 데이터를 팩스로 보내어 프린터를 제어하고, 네트워크 침투, 파일 추출 등을 악용할 수 있다. 이는 체크포인트 연구원 야니브 발마스와 에얄 이트킨이 데프콘 26(Def Con 26)에서 참석자들에게 경고한 내용이다.


Credit: Pixabay

'아직도 팩스를 사용하는 이가 있는가' 싶지만 이 연구원들은 "3억 개의 팩스 번호가 여전히 사용되고 있다"고 밝혔다. 그리고 "이 팩스 번호는 공격자가 올인원 프린터를 완전히 제어하고 이 프린터에 연결된 나머지 네트워크에 침투할 가능성이 있다"고 밝혔다.

이 연구원은 HP 오피스젯 프로 6830(HP Officejet Pro 6830) 올인원 프린터를 팩스 전송할 수 있었다. HP는 최근 펌웨어 업데이트를 발표했으며, 최대한 빨리 패치하도록 사용자에게 권고했다.

이 연구원은 "이 연구는 팩스 통신 프로토콜 전반에 관한 것으로, 다른 팩스 공급업체에서도 유사한 취약점이 존재한다"고 주장했다. 심지어 인기있는 온라인 팩스 서비스인 팩스투이메일(fax2email)도 동일한 프로토콜을 사용하기 때문에 취약할 수 있다.

발마스는 "아무도 팩스 기계를 소유하지 않는다. 대신 올인원 프린터를 소유하고 있다. 많은 사람이 취약한 네트워크에 연결되어 있다"며, "단지 악성 팩스를 보내 프린터를 완벽하게 제어할 수 있다. 이 공격에는 전제 조건이 없다. 공격을 위해 단지 할 일이라곤 악의적인 팩스를 프린터로 보내는 것이고 그러면 제어할 수 있다는 것이다"고 설명했다.

팩스를 통한 공격 방법
팩스 번호를 통해 공격자는 악성코드가 있는 이미지 파일을 표적에게 보낼 수 있다. 올인원 프린터의 팩스 기기 부분은 이미지 파일을 디코딩해 메모리로 업로드한다. 그런 다음 공격자는 악의적인 페이로드를 프린터에 액세스할 수 있는 네트워크로 확산시킬 수 있다.

발마스는 "한번 올인원 프린터가 해킹당하면 무엇이든 가능하다. 내부 네트워크에 침투하거나 인쇄된 문서를 도용하거나 비트코인을 채굴하거나 실질적으로 무엇이든 뭐든지 할 수 있다"고 말했다.

"이번 사례에서는 올인원 프린터를 팩스로 전송한 후, 동일한 네트워크에 연결된 모든 PC에 침투하기 위해 이터널 블루(EternalBlue)를 사용하고 해당 PC를 사용해 공격자에게 팩스를 통해 데이터를 재전송하도록 했다"고 덧붙였다

- 우리는 현재 이터널블루와 더블 펄사(Double Pulsar)를 사용해 컴퓨터 네트워크를 통해 공격자의 페이로드를 자율적으로 전파할 수 있는 최초의 공개적으로 문서화된 프린터를 확보했다.



이 연구원은 "이번 해킹 시연이 석탄 광산의 카나리아 역할을 하기를 바란다. 이 공격은 1980년대와 90년대에 정의된 팩스 프로토콜을 악용했다. 이 보안 위험에 대해 현대 네트워크 아키텍처가 네트워크 프린터 및 팩스 시스템을 처리하는 방식을 변경할 수 있도록 커뮤니티가 특별히 주의를 기울여야 한다. 이제 팩스 시스템은 기업 네트워크에 침투할 수 있는 요소를 제공하고 있다"고 말했다. editor@itworld.co.kr  


2018.08.14

올인원 프린터에 침투해 데이터를 훔치는 "팩스플로잇" 등장…데프콘 26

Ms. Smith | CSO
올인원 프린터에는 팩스 기능이 있는데, 공격자가 악의적으로 제작된 이미지 데이터를 팩스로 보내어 프린터를 제어하고, 네트워크 침투, 파일 추출 등을 악용할 수 있다. 이는 체크포인트 연구원 야니브 발마스와 에얄 이트킨이 데프콘 26(Def Con 26)에서 참석자들에게 경고한 내용이다.


Credit: Pixabay

'아직도 팩스를 사용하는 이가 있는가' 싶지만 이 연구원들은 "3억 개의 팩스 번호가 여전히 사용되고 있다"고 밝혔다. 그리고 "이 팩스 번호는 공격자가 올인원 프린터를 완전히 제어하고 이 프린터에 연결된 나머지 네트워크에 침투할 가능성이 있다"고 밝혔다.

이 연구원은 HP 오피스젯 프로 6830(HP Officejet Pro 6830) 올인원 프린터를 팩스 전송할 수 있었다. HP는 최근 펌웨어 업데이트를 발표했으며, 최대한 빨리 패치하도록 사용자에게 권고했다.

이 연구원은 "이 연구는 팩스 통신 프로토콜 전반에 관한 것으로, 다른 팩스 공급업체에서도 유사한 취약점이 존재한다"고 주장했다. 심지어 인기있는 온라인 팩스 서비스인 팩스투이메일(fax2email)도 동일한 프로토콜을 사용하기 때문에 취약할 수 있다.

발마스는 "아무도 팩스 기계를 소유하지 않는다. 대신 올인원 프린터를 소유하고 있다. 많은 사람이 취약한 네트워크에 연결되어 있다"며, "단지 악성 팩스를 보내 프린터를 완벽하게 제어할 수 있다. 이 공격에는 전제 조건이 없다. 공격을 위해 단지 할 일이라곤 악의적인 팩스를 프린터로 보내는 것이고 그러면 제어할 수 있다는 것이다"고 설명했다.

팩스를 통한 공격 방법
팩스 번호를 통해 공격자는 악성코드가 있는 이미지 파일을 표적에게 보낼 수 있다. 올인원 프린터의 팩스 기기 부분은 이미지 파일을 디코딩해 메모리로 업로드한다. 그런 다음 공격자는 악의적인 페이로드를 프린터에 액세스할 수 있는 네트워크로 확산시킬 수 있다.

발마스는 "한번 올인원 프린터가 해킹당하면 무엇이든 가능하다. 내부 네트워크에 침투하거나 인쇄된 문서를 도용하거나 비트코인을 채굴하거나 실질적으로 무엇이든 뭐든지 할 수 있다"고 말했다.

"이번 사례에서는 올인원 프린터를 팩스로 전송한 후, 동일한 네트워크에 연결된 모든 PC에 침투하기 위해 이터널 블루(EternalBlue)를 사용하고 해당 PC를 사용해 공격자에게 팩스를 통해 데이터를 재전송하도록 했다"고 덧붙였다

- 우리는 현재 이터널블루와 더블 펄사(Double Pulsar)를 사용해 컴퓨터 네트워크를 통해 공격자의 페이로드를 자율적으로 전파할 수 있는 최초의 공개적으로 문서화된 프린터를 확보했다.



이 연구원은 "이번 해킹 시연이 석탄 광산의 카나리아 역할을 하기를 바란다. 이 공격은 1980년대와 90년대에 정의된 팩스 프로토콜을 악용했다. 이 보안 위험에 대해 현대 네트워크 아키텍처가 네트워크 프린터 및 팩스 시스템을 처리하는 방식을 변경할 수 있도록 커뮤니티가 특별히 주의를 기울여야 한다. 이제 팩스 시스템은 기업 네트워크에 침투할 수 있는 요소를 제공하고 있다"고 말했다. editor@itworld.co.kr  


X