हेवलेट पैकर्ड
चेक प्वाइंट ने एचपी के कार्यालय फैक्स मशीनों की एक नई भेद्यता की खोज की है जो हैकर्स को फैक्स नंबर संबंधित दोष का फायदा उठाने और कंपनी के शेष उद्यम नेटवर्क तक पहुंच प्राप्त करने की अनुमति देता है। यह शोषण किसी एक उत्पाद या किसी विशेष कंपनी के सेटअप तक ही सीमित नहीं है, बल्कि इसमें HP की सभी कार्यालय फैक्स मशीनें और उन सभी में एक-एक उपकरण शामिल हैं, जिनके पास फैक्स प्रणाली एकीकृत है।
चेक प्वाइंट एचपी ऑफिसजेट ऑल-इन-वन प्रिंटर फैक्स मशीनों का परीक्षण करके इस दोष का पता लगाया, लेकिन उन्होंने बताया कि दोष विशिष्ट नहीं है। HP प्रोटोकॉल का उपयोग करने वाले फ़ैक्स प्रोटोकॉल से भेद्यता निकलती है, जिससे इसकी फ़ैक्स तैयार मशीनें सभी दोहन के लिए असुरक्षित हो जाती हैं। इसका मतलब यह है कि अन्य विलक्षण फैक्स मशीन, फैक्स-टू-मेल सेवाएं और फैक्स कार्यान्वयन भी चेक प्वाइंट के निष्कर्ष के अनुसार इस कारनामे के प्रति संवेदनशील हैं।
जिस तरह से यह काम करता है वह यह है कि एक हैकर किसी कंपनी की फैक्स मशीन तक पहुंच प्राप्त करने का तरीका ढूंढता है और फिर बाद में कंपनी के नेटवर्क पर अपने नियंत्रण का विस्तार करता है। फैक्स मशीन हमले के लिए सबसे खुले लक्ष्य बिंदु हैं क्योंकि इन्हें दूर से किसी के भी द्वारा पहुँचा जा सकता है। चूंकि फ़ैक्सिंग तंत्र किसी विशेष निस्पंदन को पूरा नहीं करता है और कम से कम विशेषाधिकार के कार्यान्वयन के बिना कहीं से भी कनेक्शन की अनुमति देता है, हैकर्स नेटवर्क के विशेष भागों में विशेषाधिकार प्राप्त करने के लिए इन कनेक्शनों का उपयोग कर सकते हैं। इन चैनलों का उपयोग बफर या स्टैटिक ओवरफ्लो पैदा करने के लिए किया जा सकता है।
हालांकि दुनिया एक अधिक डिजीटल संचार दृष्टिकोण की ओर बढ़ गई है, लेकिन फैक्स मशीनें अभी भी दुनिया भर के कार्यालयों के क्रूक्स में अच्छी तरह से एकीकृत हैं। इसका मतलब है कि हैकर्स इन प्लेटफार्मों का उपयोग सिस्टम तक पहुंच प्राप्त करने के लिए कर सकते हैं और गोपनीय जानकारी के माध्यम से स्नूपिंग से किसी भी वांछित कमांड के बारे में दस्तावेजों या खनन बिटकॉइन की चोरी कर सकते हैं।
एचपी ने जारी किया है अपडेट करें इस यौगिक भेद्यता के लिए (CVE-2018-5925 और CVE-2018-5925, प्रत्येक अपनी वेबसाइट पर CVSS 3.0 बेस स्कोर 9.8 के साथ)। एचपी फैक्स एकीकृत मशीन उपयोगकर्ताओं से अनुरोध है कि वे अपने उपकरणों को तदनुसार अपडेट करें। इसके अतिरिक्त, यह सलाह दी जाती है कि कंपनियां फ़ैक्स मशीन जैसे उपकरणों पर कम से कम विशेषाधिकारों को नियुक्त करें और उन्हें अलग-अलग नेटवर्क सेगमेंट पर सेट करें ताकि कंपनी के शेष नेटवर्क को इस प्लेटफ़ॉर्म के माध्यम से असुरक्षित न बनाया जाए।
