Scanner

L'accès à la fonction de numérisation sur les MFP (périphériques multifonctions) n'est pas normalisé et il semble que seuls quelques fournisseurs appliquent des commandes PJL pour cette tâche. La documentation publique est manquante, le projet SANE a réussi à inverser les protocoles pour divers périphériques de numérisation. Sur les MFP Brother, l'opérateur PostScript propriétaire _brpdfscan peut éventuellement être utilisé.

Comment tester cette attaque?

Installez les pilotes d'imprimante pour le modèle spécifique et utilisez la fonction de numérisation (abus).

Qui peut effectuer cette attaque?

Toute personne qui peut imprimer, si la fonction de numérisation peut être accédée via un langage de contrôle d'imprimante ou de description de page
Toute personne qui peut accéder à l'interface web, sur les MFP où les documents peuvent être numérisés en utilisant l'interface web
Seuls les attaquants qui peuvent accéder à certains services réseau, si un port TCP séparé est utilisé pour la numérisation

Téléfax

Les messages de télécopie sont transmis sous forme de tons de fréquence audio. Ils peuvent être envoyés à n'importe quel appareil compatible avec la télécopie disponible sur le système téléphonique. Par conséquent, ils pourraient potentiellement être utilisés pour contourner les mécanismes de protection typiques de l'entreprise tels que les pare-feux TCP/IP ou les systèmes de détection d'intrusion et exécuter des commandes malveillantes sur les imprimantes ou les MFP dans les réseaux internes. Au milieu des années 90, Adobe a introduit le "fax PostScript" comme supplément de langage [1], permettant aux périphériques compatibles de recevoir des fichiers PostScript directement via fax. Cela permet à un attaquant d'utiliser le système téléphonique ordinaire comme canal pour déployer un code PostScript malveillant sur une imprimante. Malheureusement, le fax PostScript ne s'est jamais imposé et n'a été implémenté que dans quelques périphériques. Les messages de télécopie sont généralement transmis sous forme d'images graphiques comme TIFF. Néanmoins, il ne peut être exclu que d'autres fournisseurs implémentent des extensions de fax propriétaires pour recevoir des flux de données PDL arbitraires entrant au lieu d'images de fax brutes. Théoriquement, un "virus de fax" pourrait être créé qui se propagerait en infectant d'autres périphériques en fonction des numéros du carnet d'adresses des MFP ou par wardialing traditionnel.

De plus, le fax sortant peut souvent être contrôlé par des commandes PJL propriétaires sur les MFP d'aujourd'hui. Cela peut être utilisé pour causer une perte financière à une institution en appelant un numéro 0900 (qui peut être enregistré par l'attaquant lui-même) ou comme canal de retour pour divulguer des informations sensibles. Des exemples spécifiques au fournisseur pour envoyer des fax via des flux de données PDL sont donnés ci-dessous.

HP

Selon [1], le fax peut être accédé en utilisant PML sur les périphériques HP.

Xerox

Selon [2], Xerox utilise des commandes PJL propriétaires : @PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."

Brother

Selon [3], Brother utilise le langage de contrôle de fax propriétaire FCL (Fax Control Language) : <Esc>DIALNUM[ (...) ]

Lexmark

Selon [4], Lexmark utilise des commandes PJL propriétaires : @PJL LFAX PHONENUMBER="..."

Kyocera

Selon [5], Kyocera utilise des commandes PJL propriétaires : @PJL SET FAXTEL = ...

Ricoh

Selon [6], Ricoh utilise des commandes PJL propriétaires : @PJL ENTER LANGUAGE=RFAX