hacktricks/network-services-pentesting/pentesting-printers/scanner-and-fax.md
2024-12-12 13:56:11 +01:00

6.5 KiB
Raw Blame History

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Scanner

O acesso à funcionalidade de scanner em MFPs (impressoras/periféricos multifuncionais) não é padronizado e parece que apenas alguns fabricantes aplicam comandos PJL para essa tarefa. Documentação pública está ausente, o projeto SANE conseguiu engenharia reversa dos protocolos para vários dispositivos de scanner. Em MFPs da Brother, o operador proprietário PostScript _brpdfscan pode possivelmente ser usado.

Como testar esse ataque?

Instale os drivers da impressora para o modelo específico e (ab)use da função de scanner.

Quem pode realizar esse ataque?

  • Qualquer um que possa imprimir, se a funcionalidade de scanner puder ser acessada através de uma linguagem de controle de impressora ou linguagem de descrição de página
  • Qualquer um que possa acessar a interface web, em MFPs onde documentos podem ser digitalizados usando a interface web
  • Apenas atacantes que possam acessar certos serviços de rede, se uma porta TCP separada for usada para digitalização

Telefax

Mensagens de fax são transmitidas na forma de tons de frequência de áudio. Elas podem ser enviadas para qualquer dispositivo capaz de telefax disponível através do sistema telefônico. Portanto, elas poderiam potencialmente ser usadas para contornar mecanismos típicos de proteção de empresas como firewalls TCP/IP ou sistemas de detecção de intrusão e executar comandos maliciosos em impressoras ou MFPs em redes internas. No meio dos anos 90, a Adobe introduziu o fax PostScript como um suplemento de linguagem [1], permitindo que dispositivos compatíveis recebessem arquivos PostScript diretamente via fax. Isso permite que um atacante use o sistema telefônico comum como um canal para implantar código PostScript malicioso em uma impressora. Infelizmente, o fax PostScript nunca se estabeleceu e foi implementado apenas em um punhado de dispositivos. Em vez disso, mensagens de telefax são tipicamente transmitidas como imagens gráficas como TIFF. No entanto, não se pode descartar que outros fabricantes implementem extensões proprietárias de fax para receber fluxos de dados PDL inbound em vez de imagens de fax brutas. Teoricamente, um vírus de fax poderia ser criado que se espalharia infectando outros dispositivos com base em números da agenda de endereços dos MFPs ou por wardialing tradicional.

Além disso, o fax outbound muitas vezes pode ser controlado por comandos PJL proprietários nos MFPs de hoje. Isso pode ser usado para causar perda financeira a uma instituição ligando para um número 0900 (que pode ser registrado pelo próprio atacante) ou como um canal de retorno para vazar informações sensíveis. Exemplos específicos de fabricantes para enviar fax via fluxos de dados PDL são dados abaixo.

HP

De acordo com [1], o fax pode ser acessado usando PML em dispositivos HP.

Xerox

De acordo com [2], a Xerox usa comandos PJL proprietários: @PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."

Brother

De acordo com [3], a Brother usa a linguagem proprietária FCL (Fax Control Language): <Esc>DIALNUM[ (...) ]

Lexmark

De acordo com [4], a Lexmark usa comandos PJL proprietários: @PJL LFAX PHONENUMBER="..."

Kyocera

De acordo com [5], a Kyocera usa comandos PJL proprietários: @PJL SET FAXTEL = ...

Ricoh

De acordo com [6], a Ricoh usa comandos PJL proprietários: @PJL ENTER LANGUAGE=RFAX


Como testar esse ataque?

Instale os drivers da impressora para o modelo específico e (ab)use da função de fax.

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks: