Escáner

El acceso a la funcionalidad de escaneo en MFP (periféricos/multifuncionales) no está estandarizado y parece que solo unos pocos proveedores aplican comandos PJL para esta tarea. Falta documentación pública, el proyecto SANE logró ingeniar los protocolos para varios dispositivos de escaneo. En los MFP de Brother, posiblemente se pueda utilizar el operador PostScript propietario _brpdfscan.

¿Cómo probar este ataque?

Instale los controladores de impresora para el modelo específico y (ab)use la función de escaneo.

¿Quién puede realizar este ataque?

Cualquiera que pueda imprimir, si la funcionalidad de escaneo se puede acceder a través de un lenguaje de controlador de impresora o de descripción de página.
Cualquiera que pueda acceder a la interfaz web, en MFP donde los documentos se pueden escanear utilizando la interfaz web.
Solo los atacantes que pueden acceder a ciertos servicios de red, si se utiliza un puerto TCP separado para el escaneo.

Telefax

Los mensajes de fax se transmiten en forma de tonos de frecuencia de audio. Se pueden enviar a cualquier dispositivo telefax disponible en el sistema telefónico. Por lo tanto, podrían usarse potencialmente para evitar los mecanismos de protección típicos de la empresa, como los firewalls TCP/IP o los sistemas de detección de intrusiones, y ejecutar comandos maliciosos en impresoras o MFP en redes internas. A mediados de los años 90, Adobe introdujo el "fax PostScript" como un complemento de lenguaje [1], lo que permite que los dispositivos compatibles reciban archivos PostScript directamente a través del fax. Esto permite a un atacante utilizar el sistema telefónico ordinario como un canal para implementar código PostScript malicioso en una impresora. Desafortunadamente, el fax PostScript nunca se estableció y solo se implementó en un puñado de dispositivos. En cambio, los mensajes de telefax se transmiten típicamente como imágenes gráficas como TIFF. Sin embargo, no se puede descartar que otros proveedores implementen extensiones de fax propietarias para recibir flujos de datos PDL arbitrarios en lugar de imágenes de fax sin procesar. Teóricamente, se podría crear un "virus de fax" que se propagaría infectando otros dispositivos basados en números de la libreta de direcciones de los MFP o mediante la marcación tradicional.

Además, el fax saliente a menudo se puede controlar mediante comandos PJL propietarios en los MFP actuales. Esto se puede utilizar para causar pérdidas financieras a una institución llamando a un número 0900 (que puede estar registrado por el propio atacante) o como un canal de retroceso para filtrar información confidencial. A continuación se dan ejemplos específicos del proveedor para enviar fax a través de flujos de datos PDL.

HP

Según [1], el fax se puede acceder mediante PML en dispositivos HP.

Xerox

Según [2], Xerox utiliza comandos PJL propietarios: @PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."

Brother

Según [3], Brother utiliza el lenguaje de control de fax propietario FCL (Fax Control Language): <Esc>DIALNUM[ (...) ]

Lexmark

Según [4], Lexmark utiliza comandos PJL propietarios: @PJL LFAX PHONENUMBER="..."

Kyocera

Según [5], Kyocera utiliza comandos PJL propietarios: @PJL SET FAXTEL = ...

Ricoh

Según [6], Ricoh utiliza comandos PJL propietarios: @PJL ENTER LANGUAGE=RFAX