এইচপি ফ্যাক্স প্রোটোকল ত্রুটি পুরো এন্টারপ্রাইজ নেটওয়ার্ককে শোষণের জন্য উন্মুক্ত করে - অ্যাপলসুয়ালস ডট কম

এইচপি ফ্যাক্স প্রোটোকল ত্রুটি পুরো এন্টারপ্রাইজ নেটওয়ার্কটি শোষণে প্রকাশ করে

সুরক্ষা / এইচপি ফ্যাক্স প্রোটোকল ত্রুটি পুরো এন্টারপ্রাইজ নেটওয়ার্কটি শোষণে প্রকাশ করে 1 মিনিট পঠিত

হিউলেট প্যাকার্ড

চেক পয়েন্ট এইচপির অফিস ফ্যাক্স মেশিনগুলির পরিসীমাতে একটি নতুন দুর্বলতা আবিষ্কার করেছে যা হ্যাকারদের একটি ফ্যাক্স নম্বর সম্পর্কিত ত্রুটি ব্যবহার করতে এবং সংস্থার এন্টারপ্রাইজ নেটওয়ার্কের বাকী অংশগুলিতে অ্যাক্সেস অর্জন করতে দেয়। এই শোষণটি কোনও একটি পণ্য বা কোনও নির্দিষ্ট কোম্পানির সেটআপের মধ্যেই সীমাবদ্ধ নয়, তবে এটি এইচপির সমস্ত অফিস ফ্যাক্স মেশিন এবং সমস্ত ইন-ওয়ান ডিভাইসকে অন্তর্ভুক্ত করে যার মধ্যে ফ্যাক্সিং সিস্টেম সংহত রয়েছে।

চেক পয়েন্ট এইচপি অফিসজেট সমস্ত-ইন-ওয়ান প্রিন্টার ফ্যাক্স মেশিনগুলি পরীক্ষা করে এই ত্রুটিটি আবিষ্কার করেছে তবে তারা জানিয়েছে যে ত্রুটিটি ডিভাইস নির্দিষ্ট নয়। এইচপি ব্যবহার করে এমন ফ্যাক্স প্রোটোকল থেকে দুর্বলতা প্রকাশিত হয় এবং এর সমস্ত ফ্যাক্স প্রস্তুত মেশিনগুলি শোষণের জন্য দুর্বল করে তোলে। এর অর্থ হ'ল চেক পয়েন্টের উপসংহার অনুসারে অন্যান্য এককাকার ফ্যাক্স মেশিন, ফ্যাক্স-টু-মেল পরিষেবা এবং ফ্যাক্স বাস্তবায়নও এই শোষণের পক্ষে ঝুঁকির মধ্যে রয়েছে।

এই শোষণটি যেভাবে কাজ করে তা হ্যাকার কোনও কোম্পানির ফ্যাক্স মেশিনের অ্যাক্সেস পাওয়ার উপায় খুঁজে পায় এবং তারপরে ইদানীং সংস্থার নেটওয়ার্ক জুড়ে তার নিয়ন্ত্রণকে প্রসারিত করে। ফ্যাক্স মেশিনগুলি আক্রমণের জন্য সর্বাধিক উন্মুক্ত টার্গেট পয়েন্ট কারণ এগুলি প্রত্যেকে দূরবর্তীভাবে অ্যাক্সেস করতে পারে। যেহেতু ফ্যাক্সিং প্রক্রিয়াটি কোনও নির্দিষ্ট পরিস্রাবণ সম্পাদন করে না এবং কোনও সুযোগ-সুবিধামুক্ত প্রয়োগ ছাড়াই যে কোনও জায়গা থেকে সংযোগের অনুমতি দেয়, হ্যাকাররা এই সংযোগগুলি নেটওয়ার্কের আরও বেশিরভাগ অংশে সুবিধা অর্জন করতে পারে। এই চ্যানেলগুলি বাফার বা স্ট্যাটিক ওভারফ্লোগুলি তৈরি করতে ব্যবহৃত হতে পারে।

যদিও বিশ্বটি আরও ডিজিটাল যোগাযোগের পদ্ধতির দিকে এগিয়ে গেছে, ফ্যাক্স মেশিনগুলি এখনও সারা বিশ্বে অফিসের ক্রুসে ভালভাবে সংহত রয়েছে। এর অর্থ হ্যাকাররা এই প্ল্যাটফর্মগুলিকে সিস্টেমে অ্যাক্সেস পেতে এবং গোপনীয় তথ্যের মাধ্যমে স্নুপিং থেকে ডকুমেন্টস চুরি বা বিটকয়েন খনন সম্পর্কে কোনও পছন্দসই কমান্ড কার্যকর করতে পারে।

এইচপি একটি প্রকাশ করেছে হালনাগাদ এই যৌগিক দুর্বলতার জন্য (CVE-2018-5925 এবং CVE-2018-5925, প্রতিটি সিভিএসএস 3.0 বেস স্কোর 9.8) এর ওয়েবসাইটে) এইচপি ফ্যাক্স ইন্টিগ্রেটেড মেশিন ব্যবহারকারীদের অনুরূপ তাদের ডিভাইসগুলি সেই অনুযায়ী আপডেট করার জন্য অনুরোধ করা হচ্ছে। এগুলি ছাড়াও, পরামর্শ দেওয়া হয় যে সংস্থাগুলি ফ্যাক্স মেশিনের মতো ডিভাইসগুলির মতো ন্যূনতম সুবিধাগুলি নিয়োগ করে এবং বিচ্ছিন্ন নেটওয়ার্ক বিভাগে সেট আপ করে যাতে এই প্ল্যাটফর্মের মাধ্যমে কোম্পানির নেটওয়ার্কের অবশিষ্ট অংশগুলি ঝুঁকিপূর্ণ না হয়।