[CODE BLUE 2018] なんてFaxだ?! [レポート] #codeblue_jp

CODE BLUE 2018「なんてFaxだ?!」についての参加レポートです。
2018.11.02

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

なんてFaxだ?! Presented by ヤニブ・バルマ イーヤル・イトキン

あなたが過去30年ほど外の世界から閉ざされた生活をしていない限り、FAX機が何かを知っているだろう。 何十年もの間、FAXは電子的な文書配信の主要な手段として世界中で使用されてきた。しかしこれは1980年代のものである。人類はデジタルコンテンツを送るためのはるかに高度な方法をすでに開発してきた。FAX機はすべて過去のもの?FAXはもう歴史的な博物館のアイテムになる以上のことはないはずだ。

FAXをまだ使用している人はいるだろうか。 我々の出した恐ろしい答えは「全員」である。 州当局、銀行、サービスプロバイダーなど多くの人々が、問題だらけの品質にも関わらずセキュリティ上の問題がほとんどないためいまだFAXを使用している。現実に、時折FAXの使用が必須であり、FAXには情報を確実に伝達できる信頼性のある方法と考えられている。

FAXとは何なのか!?

我々は、この狂った状態を破壊することを唯一の目標として活動を開始した。我々は仕事を成し遂げ、完全に公開された保護されていない電話回線にアクセスするだけで、一般的なFAX機が侵害される可能性があることを明らかにした。すなわち、周囲のすべてのセキュリティ保護は完全にバイパスされ、現代的なセキュリティコンセプトは破壊されてしまう。

組み込みオペレーティングシステム、30年前のプロトコル、博物館品質の圧縮アルゴリズム、奇妙な拡張機能、デバッグ不可な環境といった奇妙な世界を一緒に体験してみよう。 皆さんも体験できるよう、標準の電話回線だけを使用してデバイスやネットワークの完全な制御を説明する。 この話が、炭鉱のカナリアとなることを望んでいる。 技術コミュニティは、この狂気の継続を黙ってやり過ごしてはいけない。 世界はFAXの使用をやめなければならない!

レポート

  • ヤニブ・バルマ氏は、CHECK POINT RESEARCHのリサーチャー
  • FAXの歴史
    • 1846年に画像を通信で送るものが発明された
    • 1966年にゼロックスが商業用のFAXを発売
    • 1980年にITUで通信方式を基準化
  • FAXの良さ
    • Quality 品質は画像品質は悪い、メールが悪い
    • Accessibility: 誰でも見れてしまう
    • Reliability: 見たかどうか、届いたかどうか不明
  • FAXの利用
    • 船舶への気象情報をFAX
    • 日本の企業はFAX好き
    • MSも、中国中央銀行も、トランプ氏にもFAX番号が書いてある
    • 政府機関には、FAXでしか受け付けていないところもある
  • FAXを取り巻く環境
    • EmailからFAXを送る事もできる
    • プリンタにFAX機能がある複合機もある
  • 今回は、複合機がターゲット

  • 複合機(All-in-on printer)

    • LAN、USB、ブルートゥース、Wi-Fiがつながりつつ、電話回線にもつながる
  • いくつかのattack surfaceを調べるには、、、
    • Firmwearは?OSは?デバックの方法はあるか?脆弱性があるのか?
  • HP Officejet Proを分解した
    • HPは市場で6割シェアがある
    • ハードウェアボードには、、、
      • Flash ROM
      • SRAM
      • Wi-Fi
      • USB
      • MainCPU(MARVEL 88PALR01)
      • FAX Modem(CSP1040)
    • ボードにSerial Debugポートがあった
      • ただ、コマンドをほとんど受け付けなかった
    • FirmwareがHPのWebサイトにアップされていた
      • 2週間かけて調べて探し当てた
  • Firmwareの解析
    • NULL Decoder, TIFF Decoder, Delte Decoder
    • 必要なセクションを見つけた
    • ただ、バイナリで見るといくつかのバイトが欠落している
    • なんらかの圧縮されているのではないか?と推測
    • その欠落しているバイトのパターン性を解析
      • Forward / Backward Pointer
      • Dictionary
      • Sliding Window
    • Softdisk Library Format
      • ここに圧縮アルゴリズムに記述があった
      • COMMANDER KEENというゲームで使われた圧縮アルゴリズム
  • OSの解析
    • ThreadX-ARM9 / Green Hills
    • Common Librariesに SpidermonkeyというJSエンジンが入っていた
      • このJSは接続されるURLが記載されていたが、実はドメイン名は登録されてなかった
      • ヤニブ・バルマ氏がドメインを登録したので
    • 解析していったが複雑怪奇で DLL地獄だった
  • なんとかデバッグをしようとしたが、メモリー保護でプリンタ自体が再起動してしまう
  • SEIRIOが別なプリンタの脆弱性を発見し、HPのプリンタにも利用可能だった
  • "Scout"というデバッグツールを作成し、Gitへ公開中である

  • FAXの仕組み

    • Modemで通信Tunnelを作る
    • 通信が開通するとデータのやり取りする
    • TIFF header / TIFF Body を送る
    • TIFF が印刷される
    • T.30という基準ではカラーで送る事ができる(JPEG形式が通信される)
    • T.30ではJPEGが印刷される
  • JPEGの送信に脆弱性が無いかを探した
    • JPEGファイルには幾つかのセクションがある
    • 圧縮セクションに着目
    • Stack Overflowを起こせることが分かった
    • HPへ脆弱性として連絡した
      • CVE-2018-5929
      • CVE-2018-5925
  • 上記の脆弱性によりFAXをハックし、接続されているネットワークへ侵入する事ができた

  • もし、HPの複合機がある場合にはFirmwearをupdateする
  • おすすめは、FAXをネットワークへつながない方がいい(笑

  • まとめ

    • もう2018年なのでFAXの利用を控えよう
    • HP以外の製品にもあるかはわからないが、あるかもしれない
    • FAX通信する際に通信確立する際にベンダー、機種名を送る
      • それに合わせたexploitを送ることができる

感想

FAX自体がセキュアな設計になっていれば、防げる問題な気がする。ただ、紙媒体自体がセキュアでは無いので、やっぱりFAXの利用はやめていった方が良いのは賛成する。