欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

DEFCON 26 | 利用传真功能漏洞渗透进入企业内网(Faxploit)

来源:本站整理 作者:佚名 时间:2018-09-05 TAG: 我要投稿


从远古时代的飞鸽传书到后来的邮政快递,写信人与收信人之间的物理消息传递方式逐渐在演变发展,之后,传真技术的出现从某种程度上说,帮助人们走出了信件传递的黑暗时代。
然而,技术发展到今天,就通信手段而言,我们有电子邮件、社交聊天、移动通信渠道、网络服务和高大上的量子卫星通信等等,但在这种喜新厌旧的信息时代中,传真技术仍然没被淘汰,且依旧被广泛使用。根据简单的谷歌搜索可以发现,网上出现了超过3亿个的在用传真号码,看来,传真技术还是我们常用的办公通信方式之一。
为此,CheckPoint 决定深入研究一下这种“老派”的通信方式,看看它除了具备嘈杂的传呼机功能和官僚主义负担之外,是否存在着严重的网络安全风险。以下为CheckPoint 的相关研究:
研究背景
传真通信是利用扫描和光电变换技术,从发端将文字、图像、照片等静态图像通过有线或无线信道传送到接收端,并在接收端以记录的形式重显原静止的图像的通信方式。传真是基于传统电信线路电话交换网(PSTN)与软交换技术(NGN)的融合。
如今的传真技术被广泛集成于多功能一体打印机设备中,之后,家庭或企业通过以太网、WiFi、蓝牙等接口把这些一体机接入内网使用。当然,为了支持传真功能,这些一体机还连接了传统话务(PSTN)的电话线。
我们在研究一开始就定下了这种假设,攻击者能否仅仅通过电话线和相应的传真号码,就能向多功能一体打印机发送恶意传真来实现入侵呢?如果答案是“能”,那么通过这台受控打印机,就有可能深入向企业内网渗透。终于,经过漫长而乏味的研究,我们有了突破。
事实上,我们在多功能一体打印机中发现了几个关键漏洞,利用这些漏洞,通过向其发送构造的恶意传真,就能实现对其完全的入侵控制。这样一来,打开了企业内网之门,也就什么可能都存在了,攻击者可以潜伏在多功能一体机中,向脆弱的企业内网电脑发起“永恒之蓝”漏洞攻击,或通过传真方式窃取内网电脑数据并向外回传。

我们把这种攻击称之为“Faxploit”攻击。以下为实际网络环境中的PoC视频:
演示视频:
逆向固件
首先,在固件逆向分析过程中,我们使用IDA来识别传真功能中实际的运行进程和环境,有了一些发现:
架构
我们测试的多功能一体机是基于ARM 32bit的CPU架构的大端存储模式(Big-Endian),主CPU使用共享存储区与控制LCD屏幕的MCU元件进行通信。

操作系统
操作系统是Green Hills的ThreadX式嵌入式实时操作系统,它使用平面内存架构,很多任务进程运行于内核模式下,使用同一个虚拟地址空间。也是由于这种平面内存架构的原因,我们认为任务进程的通信是通过消息队列方式进行的(FIFO),另外,其虚拟地址空间是固定的,未部署任何地址空间布局随机化(ASLR)保护机制。
DSID值
然而,当我们在分析T.30状态机任务(“tT30”)时,偶然发现了很多使用特别ID的追踪方法(trace),深入分析发现,这些ID也被用于一些以“DSID_”为前缀开头的字符串列表中。实际上,这些字符串看似是与那些使用ID的追踪方法(trace)逻辑相匹配,这也给了我们重要的逆向提示线索。于是乎,我们从所有不同的DSID列表中创建了一个枚举类型,形成了任务中的各种追踪方法文本描述。以下为trace追踪方法中使用的DSID值:

T.30状态机中的DSID列表:

在追踪方法中应用DSID枚举:

任务不一致性
当我们逆向T.30状态机和之后处理HDLC的传真猫(“tFaxModem”)时,发现缺少了多个函数指针表。之后我们还发现,有两种常规的代码模式貌似和 allocation/deallocation路径有些相似。每个模块中采用的方法,是为了接收来自其它模块的消息,或者,也可能是把缓存发送到下一模块中,如下图使用某个功能表从另一个任务接收数据帧:

如果我们不能定位这些模块中采用的具体方法,也就无法弄清固件中的数据流形式,会对固件的下一步分析造成阻碍。由于我们无法定位到大多数方法指针的初始化,所以,我们需要一种动态方法,也即调试器来进行调试。
创建调试器
串行调试接口
首先,我们分析了一体机的主板,想找到上面的串行调试端口,不一会,我们就有了发现。下图为连接JTAGULATOR到打印机的串行调试器:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载