hacktricks/network-services-pentesting/pentesting-printers/scanner-and-fax.md

6.4 KiB

Aprende a hackear AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Escáner

El acceso a la funcionalidad de escaneo en MFPs (impresoras/periféricos multifunción) no está estandarizado y parece que solo algunos fabricantes aplican comandos PJL para esta tarea. Falta documentación pública, el proyecto SANE logró ingeniería inversa de los protocolos para varios dispositivos de escaneo. En MFPs de Brother, posiblemente se pueda utilizar el operador PostScript propietario _brpdfscan.

¿Cómo probar este ataque?

Instala los controladores de la impresora para el modelo específico y (ab)usa la función de escaneo.

¿Quién puede realizar este ataque?

  • Cualquiera que pueda imprimir, si la funcionalidad de escaneo se puede acceder a través de un control de impresora o un lenguaje de descripción de página
  • Cualquiera que pueda acceder a la interfaz web, en MFPs donde los documentos se pueden escanear utilizando la interfaz web
  • Solo atacantes que puedan acceder a ciertos servicios de red, si se utiliza un puerto TCP separado para el escaneo

Telefax

Los mensajes de fax se transmiten en forma de tonos de frecuencia de audio. Se pueden enviar a cualquier dispositivo con capacidad para telefax disponible a través del sistema telefónico. Por lo tanto, podrían usarse potencialmente para eludir mecanismos de protección típicos de la empresa como firewalls TCP/IP o sistemas de detección de intrusiones y ejecutar comandos maliciosos en impresoras o MFPs en redes internas. A mediados de los 90, Adobe introdujo el 'fax PostScript' como un suplemento del lenguaje [1], permitiendo que los dispositivos compatibles reciban archivos PostScript directamente a través del fax. Esto permite a un atacante usar el sistema telefónico ordinario como un canal para desplegar código PostScript malicioso en una impresora. Desafortunadamente, el fax PostScript nunca se estableció y solo se implementó en unos pocos dispositivos. En cambio, los mensajes de telefax típicamente se transmiten como imágenes gráficas como TIFF. Sin embargo, no se puede descartar que otros fabricantes implementen extensiones de fax propietarias para recibir flujos de datos PDL entrantes en lugar de imágenes de fax en bruto. Teóricamente, se podría crear un 'virus de fax' que se propagaría infectando otros dispositivos basados en números de la agenda de direcciones de los MFPs o mediante wardialing tradicional.

Además, el fax saliente a menudo se puede controlar mediante comandos PJL propietarios en los MFPs actuales. Esto se puede utilizar para causar pérdidas financieras a una institución llamando a un número 0900 (que puede estar registrado por la propia atacante) o como un canal de retorno para filtrar información sensible. A continuación se dan ejemplos específicos de fabricantes para enviar fax a través de flujos de datos PDL.

HP

Según [1] el fax se puede acceder utilizando PML en dispositivos HP.

Xerox

Según [2], Xerox utiliza comandos PJL propietarios: @PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."

Brother

Según [3], Brother utiliza el FCL (Fax Control Language) propietario: <Esc>DIALNUM[ (...) ]

Lexmark

Según [4] Lexmark utiliza comandos PJL propietarios: @PJL LFAX PHONENUMBER="..."

Kyocera

Según [5] Kyocera utiliza comandos PJL propietarios: @PJL SET FAXTEL = ...

Ricoh

Según [6] Ricoh utiliza comandos PJL propietarios: @PJL ENTER LANGUAGE=RFAX


¿Cómo probar este ataque?

Instala los controladores de la impresora para el modelo específico y (ab)usa la función de fax.

Aprende a hackear AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: