hacktricks/network-services-pentesting/pentesting-printers/scanner-and-fax.md
2023-06-03 13:10:46 +00:00

48 lines
4.3 KiB
Markdown

# Scanner
L'accès à la fonction de numérisation sur les MFP (périphériques multifonctions) n'est pas normalisé et il semble que seuls quelques fournisseurs appliquent des commandes PJL pour cette tâche. La documentation publique est manquante, le projet [SANE](http://www.sane-project.org/sane-backends.html#SCANNERS) a réussi à inverser les protocoles pour divers périphériques de numérisation. Sur les MFP Brother, l'opérateur PostScript propriétaire \_brpdfscan peut éventuellement être utilisé.
**Comment tester cette attaque?**
Installez les pilotes d'imprimante pour le modèle spécifique et utilisez la fonction de numérisation (abus).
**Qui peut effectuer cette attaque?**
* Toute personne qui peut imprimer, si la fonction de numérisation peut être accédée via un langage de contrôle d'imprimante ou de description de page
* Toute personne qui peut accéder à l'interface web, sur les MFP où les documents peuvent être numérisés en utilisant l'interface web
* Seuls les attaquants qui peuvent accéder à certains services réseau, si un port TCP séparé est utilisé pour la numérisation
# Téléfax
Les messages de télécopie sont transmis sous forme de tons de fréquence audio. Ils peuvent être envoyés à n'importe quel appareil compatible avec la télécopie disponible sur le système téléphonique. Par conséquent, ils pourraient potentiellement être utilisés pour contourner les mécanismes de protection typiques de l'entreprise tels que les pare-feux TCP/IP ou les systèmes de détection d'intrusion et exécuter des commandes malveillantes sur les imprimantes ou les MFP dans les réseaux internes. Au milieu des années 90, Adobe a introduit le "fax PostScript" comme supplément de langage [\[1\]](http://hacking-printers.net/wiki/index.php/Fax_and_Scanner#cite_note-1), permettant aux périphériques compatibles de recevoir des fichiers PostScript directement via fax. Cela permet à un attaquant d'utiliser le système téléphonique ordinaire comme canal pour déployer un code PostScript malveillant sur une imprimante. Malheureusement, le fax PostScript ne s'est jamais imposé et n'a été implémenté que dans quelques périphériques. Les messages de télécopie sont généralement transmis sous forme d'images graphiques comme [TIFF](https://en.wikipedia.org/wiki/TIFF#TIFF_Compression_Tag). Néanmoins, il ne peut être exclu que d'autres fournisseurs implémentent des extensions de fax propriétaires pour recevoir des flux de données PDL arbitraires **entrant** au lieu d'images de fax brutes. Théoriquement, un "virus de fax" pourrait être créé qui se propagerait en infectant d'autres périphériques en fonction des numéros du carnet d'adresses des MFP ou par wardialing traditionnel.
De plus, le fax **sortant** peut souvent être contrôlé par des commandes PJL propriétaires sur les MFP d'aujourd'hui. Cela peut être utilisé pour causer une perte financière à une institution en appelant un numéro 0900 (qui peut être enregistré par l'attaquant lui-même) ou comme canal de retour pour divulguer des informations sensibles. Des exemples spécifiques au fournisseur pour envoyer des fax via des flux de données PDL sont donnés ci-dessous.
### HP
Selon [\[1\]](http://hplipopensource.com), le fax peut être accédé en utilisant PML sur les périphériques HP.
### Xerox
Selon [\[2\]](http://www.office.xerox.com/support/dctips/dc02cc0280.pdf), Xerox utilise des commandes PJL propriétaires : `@PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."`
### Brother
Selon [\[3\]](http://brother-mfc.sourceforge.net/faxlanguage.txt), Brother utilise le langage de contrôle de fax propriétaire FCL (Fax Control Language) : `<Esc>DIALNUM[ (...) ]`
### Lexmark
Selon [\[4\]](https://www.lexmark.com/publications/pdfs/techref_WB.pdf), Lexmark utilise des commandes PJL propriétaires : `@PJL LFAX PHONENUMBER="..."`
### Kyocera
Selon [\[5\]](http://material.karlov.mff.cuni.cz/people/hajek/bizhub/femperonpsc200mu.pl), Kyocera utilise des commandes PJL propriétaires : `@PJL SET FAXTEL = ...`
### Ricoh
Selon [\[6\]](http://www.objectiflune.com/forum2/ubbthreads.php?ubb=showflat\&Number=29462\&page=1), Ricoh utilise des commandes PJL propriétaires : `@PJL ENTER LANGUAGE=RFAX`
\
**Comment tester cette attaque?**
Installez les pilotes d'imprimante pour le modèle spécifique et utilisez la fonction de fax (abus).