Akamai’deki araştırmacılara göre, Ortak Unix Yazdırma Sistemindeki veya Cups’taki uzaktan kod yürütmeye (RCE) yol açan bir dizi dört güvenlik açığı, kuyruklarında kötü bir acı barındırıyor gibi görünüyor. felç edici bir dağıtılmış hizmet reddi (DDoS) saldırısı.
CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 ve CVE-2024-47177 toplu olarak 76.000’den fazla cihazı ve muhtemelen çok daha fazlasını etkilemektedir. Evilsocket olarak da bilinen araştırmacı Simone Margaritelli tarafından Eylül ayının sonunda keşfedildi ve açıklandı.
Sıradan bir bilgisayarın bir yazdırma sunucusu gibi davranmasına izin veren Cups’ın, bir saldırganın kötü amaçlı bir İnternet Yazdırma Protokolü (IPP) URL’sine sahip bir “hayalet” yazıcıyı savunmasız bir bilgisayara başarılı bir şekilde eklemesi durumunda RCE için bir vektör olarak kullanılmasına olanak tanırlar. makineyi açın ve üzerinde bir yazdırma işi başlatın.
Ancak Akamai araştırmacıları Larry Cashdollar, Kyle Lefton ve Chad Seaman’a göre, Margaritelli’nin açıklamasını incelerken Cups’ın, RCE’den daha az şiddetli olmasına rağmen yine de önemli düzeyde kesintiye neden olan ve kötü niyetli amaçlar için kolayca suistimal edilen DDoS saldırıları başlatmak için istismar edilme olasılığını fark ettiler. .
Üç araştırmacı, bu durumda özellikle endişe verici olanın, Cups aracılığıyla bir DDoS saldırısı başlatmanın sınırlı kaynak gerektirmesi olduğunu iddia ediyor; savunmasız olan her Cups hizmetini birlikte seçme görevi, bir tehdit aktörünün erişime sahip olması durumunda yalnızca birkaç saniye sürebilir. modern bir hiper ölçekleyici platformuna geçiş, tek bir ABD sentinden daha ucuza mal olabilir. Üstelik saldırıyı başlatmak için, saldıran sistemin savunmasız bir Cups hizmetine yalnızca tek bir paket göndermesi gerekiyor.
DDoS riskini açıklayan teknik bir yazıda “Sorun, bir saldırganın eklenecek yazıcı olarak hedefin adresini belirten hazırlanmış bir paket göndermesi durumunda ortaya çıkıyor” diye yazdılar.
“Gönderilen her paket için, savunmasız Cups sunucusu, belirtilen hedefe yönelik daha büyük ve kısmen saldırgan tarafından kontrol edilen bir IPP/HTTP isteği oluşturacaktır. Sonuç olarak, yalnızca hedef etkilenmekle kalmıyor, aynı zamanda Cups sunucusunun ana bilgisayarı da saldırının ağ bant genişliğini ve CPU kaynaklarını tükettiği için kurban oluyor.”
Aslında internette erişilebilen ve bu saldırı vektörüne karşı savunmasız olan 198.000’den fazla cihazın bulunabileceğine ve bunların yaklaşık 58.000’inin DDoS saldırıları için kullanılabileceğine inanıyorlar.
Bu cihazların çoğunun Cups’ın eski sürümlerini çalıştırdığı göz önüne alındığında (bazılarının tarihi 2007’de çıkan 1.3 sürümüne kadar uzanıyor) tehdit aktörlerinin DDoS saldırılarını güçlendirmek için eski donanımlardan yararlanmak için altın bir fırsata sahip olduklarını eklediler.
Tanımlanan 58.000’den fazla ana bilgisayarın tamamının aynı kampanyada kullanıldığını varsayarsak, 6 GB’a kadar kötü amaçlı trafiğe neden olabilirler; bu, modern standartlara göre hiçbir şekilde çok büyük bir DDoS saldırısı sayılmaz, ancak yine de sorunlu olabilir.
Belki de daha endişe verici olanı, Akamai ekibinin testi ayrıca bazı aktif Cups sunucularının ilk isteği aldıktan sonra tekrar tekrar geri bildirimde bulunduğunu ve bazılarının da HTTP/404 yanıtlarını aldıktan sonra bunu sonsuz bir şekilde yaptığını ortaya çıkardı. Bunun, sorunun büyüme potansiyelinin oldukça büyük olduğunu ve önemli sorunlara yol açabileceğini gösterdiğini söylediler.
“Yeni DDoS saldırı vektörleri bazen düşük vasıflı fırsatçı saldırganlar tarafından bulunuyor ve sıklıkla hızla kötüye kullanılıyor. CUPS’taki bu güvenlik açığı ve bu şekilde kötüye kullanılabilecek geniş cihaz popülasyonu, savunucuların CUPS tabanlı saldırılarla karşılaşma ihtimalinin yüksek olduğuna inanmamıza neden oluyor” dedi.
“Mesajlaşma ve temizleme çabaları, savunmasız ve internette açığa çıkan cihazların sayısını azaltmak için ilgi çekene kadar, bu vektörün vahşi doğada kötüye kullanım göreceğinden şüpheleniyoruz.”
APIContext CEO’su Mayur Upadhyaya şu yorumu yaptı: “CUPS güvenlik açığı, görünüşte sıradan bir hoparlör sisteminde gizli bir amplifikatör keşfetmeye benzer. Küçük bir dokunuş, bir fısıltıyı sağır edici bir kükremeye dönüştürebilir ve çevreyi bunaltabilir. Benzer şekilde, bu kusur küçük sinyalleri bile büyüterek saldırganların yoğun bir trafik akışı oluşturmasına ve hedeflenen sistemleri boğmasına olanak tanıyor.”