Simone Margaritelli descubrió una grave vulnerabilidad de ejecución remota de código (RCE) en el sistema de impresión Common Unix (CUPS) que afecta a todos los sistemas GNU/Linux.
Simone Margaritelli anunció previamente un fallo RCE no certificado que afecta a todos los sistemas GNU/Linux, pero ahora ha proporcionado detalles técnicos.
Esta falla contiene cuatro CVE diferentes (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) que permiten a un atacante no autenticado y representa una grave amenaza. seguridad de la red.
“Desde una perspectiva de seguridad general, todo el sistema Linux moderno es sólo un lío interminable de agujeros de seguridad irremediables esperando ser explotados”.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito
Los investigadores de seguridad descubrieron esta vulnerabilidad y detallaron sus hallazgos en un artículo completo. Los investigadores han identificado varios problemas importantes en el sistema CUPS, que incluyen:
CVE-2024-47176: El servicio cups-browsed se vincula al puerto UDP 631 y confía en paquetes de fuentes arbitrarias para activar solicitudes IPP Get-Printer-Attributes a URL controladas por atacantes. CVE-2024-47076: La biblioteca libcupsfilters no valida ni desinfecta los atributos IPP devueltos por un servidor IPP, que proporciona datos controlados por el atacante al resto del sistema CUPS. CVE-2024-47175: La biblioteca libppd no valida ni desinfecta los atributos IPP cuando los escribe en un archivo PPD temporal, lo que puede permitir que se inyecten datos controlados por un atacante en el PPD resultante. CVE-2024-47177: El paquete cups-filters permite la ejecución de comandos arbitrarios a través del parámetro PPD FoomaticRIPCommandLine.
Margaritelli demostró cómo estas vulnerabilidades podrían explotarse para lograr la ejecución remota de código en un sistema Ubuntu 24.04.1 LTS completamente parcheado que ejecuta cups-browsed 2.0.1.
Un atacante remoto y no autenticado podría reemplazar silenciosamente la URL IPP de una impresora existente (o instalar una nueva) por una maliciosa y ejecutar comandos arbitrarios en la computadora cuando comience un trabajo de impresión.
Esta vulnerabilidad se puede explotar a través de la WAN/Internet pública enviando paquetes UDP al puerto 631 y a través de la LAN falsificando anuncios de zeroconf/mDNS/DNS-SD.
Margaritelli escaneó toda la gama IPv4 de la Internet pública y recibió conexiones inversas de cientos de miles de dispositivos, lo que pone de relieve la exposición generalizada de los sistemas a estas vulnerabilidades.
Según Shodan, hay 73.000 servidores CUPS disponibles públicamente que aceptan paquetes personalizados de fuentes no confiables a través del puerto UDP 631.
Esta vulnerabilidad afecta a la mayoría de las distribuciones GNU/Linux, algunos BSD, Google Chromium/ChromeOS, Oracle Solaris y posiblemente otros sistemas donde están empaquetados CUPS y específicamente CupBrowsing.
La vulnerabilidad fue reportada al proyecto OpenPrinting y se están trabajando en algunas soluciones, pero los investigadores han expresado su frustración con el proceso de divulgación responsable, citando demoras y desgana de los desarrolladores.
La gravedad de esta vulnerabilidad queda resaltada por la puntuación CVSS inicial de 9,9 estimada por los ingenieros de Red Hat.
sombrero rojo
Los investigadores reconocen que este impacto puede no garantizar una puntuación de 9,9, pero la facilidad de explotación y la presencia generalizada de paquetes vulnerables hacen que este problema se convierta en un problema grave.
Recomendaciones
Deshabilite y elimine el servicio de navegación de Cups. Actualice los paquetes CUPS con actualizaciones de seguridad. Si no puede actualizar, bloquee el puerto UDP 631. Además, considere bloquear DNS-SD también.
Teniendo en cuenta estos hallazgos, los usuarios deben deshabilitar y eliminar el servicio de navegación de cups si no es necesario, actualizar los paquetes CUPS en sus sistemas y deshabilitar todo el tráfico al puerto UDP 631 y el tráfico DNS-SD. Recomendamos bloquear.
Margaritelli también recomienda eliminar todos los servicios, binarios y bibliotecas de CUPS de su sistema y evitar el uso del oyente zeroconf/avahi/bonjour.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Unauthenticated RCE Flaw Impacts all Linux Systems – Details Revealed
