背景介紹
從紙筆辦公到物聯(lián)網(wǎng)時(shí)代,你知道哪些攻擊面是攻擊者最常利用,而我們又最常忽略的嗎?
現(xiàn)在,在你的辦公室中可能還有一些老舊的傳真機(jī)或是布滿灰塵的打印機(jī),在你的眼中,它們或許只是已經(jīng)無(wú)法用來(lái)發(fā)送郵件或復(fù)印文檔的過(guò)時(shí)技術(shù)。你可能也會(huì)將收發(fā)室/信房視為收集未經(jīng)請(qǐng)求的垃圾信件的地方,而這些垃圾信件很快就會(huì)被你丟進(jìn)垃圾箱。
是的,如此尋常的物件,如此尋常的操作,可能每天都在我們的生活和工作中上演。但是,攻擊者卻能夠從中發(fā)現(xiàn)一些不同的東西:漏洞,一些通常會(huì)被安全部門(mén)忽略的漏洞。要記住,非計(jì)算機(jī)向量上的網(wǎng)絡(luò)攻擊要比你想象的更常見(jiàn)。
例如,今年8月,Check Point公司的研究人員就披露了全球數(shù)以?xún)|計(jì)傳真機(jī)所使用的通信協(xié)議中存在的兩個(gè)嚴(yán)重遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。該攻擊被稱(chēng)為Faxploit,其中涉及了兩個(gè)緩沖區(qū)溢出漏洞,一個(gè)在解析COM標(biāo)記時(shí)觸發(fā)(CVE-2018-5925),另一個(gè)基于堆棧的問(wèn)題在解析DHT標(biāo)記(CVE-2018-5924)時(shí)發(fā)生,這可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
為了證明這一攻擊,Check Point惡意軟件研究團(tuán)隊(duì)負(fù)責(zé)人Yaniv Balmas和安全研究員Eyal Itkin還針對(duì)市面上流行的HP Officejet Pro多功能一體機(jī)、HP Officejet Pro 6830一體式打印機(jī)以及OfficeJet Pro 8720進(jìn)行了測(cè)試。結(jié)果顯示,研究人員只需使用一根電話線,然后發(fā)送傳真,就可以完全控制傳真機(jī),并將惡意載荷橫向擴(kuò)散到打印機(jī)可訪問(wèn)的計(jì)算機(jī)網(wǎng)絡(luò)中。
根據(jù)Check Point的研究,許多其他供應(yīng)商的傳真和多功能打印機(jī),以及流行的在線傳真服務(wù)(fax2email)都使用了相同的協(xié)議,因此也極可能受到此類(lèi)攻擊的影響。
雖然傳真機(jī)并不是最現(xiàn)代化的技術(shù),但是根據(jù)Spiceworks公司2017年進(jìn)行的一項(xiàng)調(diào)查顯示,62%的受訪者表示他們?nèi)栽谑褂脤?shí)體傳真機(jī);而IDC進(jìn)行的一項(xiàng)調(diào)查也顯示,82%的受訪者表示他們使用傳真的情況在2017年實(shí)際上是有所增長(zhǎng)的。尤其令人擔(dān)憂的現(xiàn)狀是,傳真仍廣泛應(yīng)用于醫(yī)療保健、法律、銀行以及房地產(chǎn)等領(lǐng)域,被組織用于存儲(chǔ)和處理大量高度敏感的個(gè)人數(shù)據(jù)。
當(dāng)然,這只是經(jīng)常被組織忽略的攻擊向量中的一個(gè)例子,事實(shí)上,還存在很多諸如此類(lèi)的高危卻容易被人忽略的攻擊面,接下來(lái)就為大家一一揭露:
7大攻擊面
1. 打印機(jī)/多功能機(jī)
InGuardians高級(jí)管理安全分析師Tyler Robinson表示,信息安全專(zhuān)業(yè)人員應(yīng)該確保他們的打印機(jī)不會(huì)暴露在互聯(lián)網(wǎng)上。除此之外,他們還應(yīng)該更改此類(lèi)設(shè)備的默認(rèn)密碼,并指定相關(guān)負(fù)責(zé)人對(duì)打印機(jī)安全負(fù)責(zé)。
信息安全專(zhuān)業(yè)人員應(yīng)該意識(shí)到,大多數(shù)多功能設(shè)備都有硬盤(pán)驅(qū)動(dòng)器和完整的操作系統(tǒng)運(yùn)行其上,這就意味著,黑客可能會(huì)竊取打印文檔并從這些設(shè)備中掃描PDF文件。
此外,對(duì)于那些選擇租用多功能設(shè)備,并每隔幾年就會(huì)更換一次租賃設(shè)備的企業(yè)而言,必須制定一份明確的銷(xiāo)毀策略,確保硬盤(pán)在設(shè)備返回供應(yīng)商處之前被銷(xiāo)毀。
2. 老舊傳真設(shè)備
信息安全專(zhuān)業(yè)人員需要了解,個(gè)人身份信息可能會(huì)經(jīng)由老舊的傳真設(shè)備泄露出去。黑客通常會(huì)將傳真轉(zhuǎn)發(fā)到電子郵件地址,或者只是通過(guò)傳真機(jī)發(fā)送數(shù)據(jù)。最好的防范措施是進(jìn)行適當(dāng)?shù)那鍐危i定默認(rèn)接口,并確保傳真機(jī)不會(huì)暴露在互聯(lián)網(wǎng)上。對(duì)于不得不用傳真機(jī)傳遞關(guān)鍵信息的情況,也應(yīng)該通過(guò)專(zhuān)用線路進(jìn)行操作。
由于多功能設(shè)備的加速發(fā)展,眾多企業(yè)已經(jīng)逐漸選擇淘汰傳真設(shè)備。對(duì)于選擇淘汰這些老舊傳真機(jī)的企業(yè)而言,最重要的就是要擦拭掉這些傳真機(jī)的內(nèi)存,并確保他們的處理供應(yīng)商提供適當(dāng)?shù)匿N(xiāo)毀文件。而對(duì)于那些仍然依賴(lài)傳真機(jī)的醫(yī)療保健等行業(yè)而言,請(qǐng)務(wù)必更改設(shè)備的默認(rèn)密碼,并禁用所有遠(yuǎn)程管理功能。
3. 會(huì)議室的視頻系統(tǒng)
安全專(zhuān)家強(qiáng)調(diào)稱(chēng),視頻會(huì)議系統(tǒng)也不應(yīng)該暴露于公共互聯(lián)網(wǎng)上。公司應(yīng)該明確規(guī)定誰(shuí)可以使用這些系統(tǒng)的具體訪問(wèn)權(quán)限,并根據(jù)需要打開(kāi)連接,而不是將其全天候開(kāi)放。
一名研究人員還舉例稱(chēng),他曾接觸到一家企業(yè),其Polycom視頻會(huì)議系統(tǒng)總是受到攻擊。在后續(xù)檢查期間,他發(fā)現(xiàn),起因竟是該公司并未更改默認(rèn)密碼。所以,安全專(zhuān)業(yè)人員必須認(rèn)真落實(shí)這些基本的管理任務(wù),因?yàn)楹翢o(wú)疑問(wèn),黑客完全有能力通過(guò)視頻會(huì)議系統(tǒng)遠(yuǎn)程監(jiān)視您的對(duì)話和公司會(huì)議。
4. 收發(fā)室系統(tǒng)
首先要意識(shí)到,將快遞運(yùn)送和發(fā)往收發(fā)室的很大可能是不受信任或未經(jīng)請(qǐng)求的代理商,這類(lèi)人永遠(yuǎn)不能訪問(wèn)安全區(qū)域,如果可能,他們應(yīng)該與公司環(huán)境之外的收發(fā)室進(jìn)行交互。公司必須讓您的收發(fā)室工作人員熟悉并能夠識(shí)別常規(guī)的FedEx和UPS等快遞標(biāo)識(shí)。
此外,公司還需要對(duì)員工進(jìn)行培訓(xùn),告訴他們只需通過(guò)一個(gè)小小的拇指驅(qū)動(dòng)器(無(wú)論是無(wú)意中撿到或是從未知來(lái)源的郵件中收到)就可以成功感染企業(yè)網(wǎng)絡(luò),因此,無(wú)論何時(shí),不可輕易信任來(lái)自收發(fā)室的信件內(nèi)容或?qū)⑵渲械臇|西用于公司網(wǎng)絡(luò)中。
5. 供熱通風(fēng)和空調(diào)(HVAC)系統(tǒng)
不知大家是否還記得發(fā)生在2013年的Target數(shù)據(jù)泄漏事件?因其影響范圍之廣(超過(guò)1億用戶(hù)的信用卡、卡號(hào)、戶(hù)主、地址、郵件地址以及電話皆被曝光)、損失之嚴(yán)重(被偷信用卡估計(jì)價(jià)值4億美元)而成為信息安全領(lǐng)域中無(wú)法磨滅的一段歷史。而這起事件最初的入侵點(diǎn)就是一個(gè)為攻擊者所入侵的第三方HVAC系統(tǒng)。
| 
