Un expert în securitate cibernetică a descoperit o vulnerabilitate severă de execuție a codului la distanță (RCE) în sistemul Common Unix Printing (CUPS), care afectează toate sistemele GNU/Linux. Această vulnerabilitate permite atacatorilor neautentificați să execute comenzi arbitrare pe sisteme vulnerabile, punând în pericol securitatea rețelelor.
TL;DR
- Vulnerabilitate RCE în CUPS, afectează toate sistemele GNU/Linux.
- Permite atacatorilor să execute comenzi arbitrare de la distanță.
- CVE-uri implicate: CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177.
- Recomandari: Dezactivați și eliminați serviciul cups-browsed, actualizați pachetele, blocați portul UDP 631.
Ce este vulnerabilitatea din CUPS?
Vulnerabilitatea RCE descoperită în CUPS este una dintre cele mai grave de până acum, afectând toate distribuțiile GNU/Linux. Sistemul CUPS, folosit pentru gestionarea imprimantelor, are mai multe breșe care permit unui atacator neautentificat să preia controlul unui sistem. CVE-urile asociate cu această vulnerabilitate sunt CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, și CVE-2024-47177.
Impactul vulnerabilității
Conform expertului în securitate Simone Margaritelli, vulnerabilitatea permite unui atacator să execută comenzi arbitrare pe un sistem vulnerabil fără autentificare prealabilă. Acest lucru poate compromite grav securitatea întregii rețele. Margaritelli a demonstrat cum aceste vulnerabilități pot fi exploatate pentru a obține execuție de cod la distanță pe un sistem complet actualizat Ubuntu 24.04.1 LTS.
Exemple de CVE-uri:
- CVE-2024-47176: Serviciul cups-browsed se leagă la portul UDP 631, permițând oricărui pachet de la orice sursă să declanșeze o solicitare Get-Printer-Attributes IPP către un URL controlat de atacator.
- CVE-2024-47076: Biblioteca libcupsfilters nu validează sau sanitizează atributele IPP returnate de un server IPP, permițând date controlate de atacator să fie procesate de restul sistemului CUPS.
- CVE-2024-47175: Biblioteca libppd nu validează sau sanitizează atributele IPP când le scrie într-un fișier PPD temporar, permițând injectarea de date controlate de atacator în fișierul PPD rezultat.
- CVE-2024-47177: Pachetul cups-filters permite execuția de comenzi arbitrare prin parametrii FoomaticRIPCommandLine din fișierul PPD.
Cum vă puteți proteja?
Pentru a vă proteja de această vulnerabilitate, utilizatorii sunt sfătuiți să dezactiveze și să elimine serviciul cups-browsed dacă nu este necesar, să actualizeze pachetele CUPS pe sistemele lor și să blocheze tot traficul către portul UDP 631 și traficul DNS-SD. Simone Margaritelli sugerează, de asemenea, eliminarea tuturor serviciilor, bibltiotecilor și binarelor CUPS de pe sistemele folosite și evitarea utilizării listener-elor zeroconf/avahi/bonjour.
Făcând aceste lucruri, utilizatorii pot reduce semnificativ riscul de a fi afectați de astfel de vulnerabilități.
Sursa articolului:
https://cybersecuritynews.com/unauthenticated-rce-flaw-linux-systems/