Ortak Unix Yazdırma Sistemindeki (CUPS) kritik bir dizi güvenlik açığı açığa çıkarıldı; bu güvenlik açıkları, uzaktaki saldırganların geçerli kimlik bilgileri veya önceden erişim olmadan hedef sistemlerde rastgele kod çalıştırmasına olanak tanıyor.
CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 ve CVE-2024-47177 olarak takip edilen güvenlik açıkları tüm GNU/Linux sistemlerini ve potansiyel olarak diğerlerini etkiler.
Kuruluşların savunmasız sistemleri tanımlamasına yardımcı olmak için, özellikle CVE-2024-47176 için, bardaklara göz atılan arka plan programını hedefleyen yeni bir güvenlik açığı tarayıcısı geliştirildi.
Bu tarayıcı, yerel ağları, güvenlik açığı bulunan bilgisayarlara göz atılan örnekler için taramak üzere tasarlanmıştır ve BT güvenlik ekiplerinin bu riskleri değerlendirmesi ve azaltması için çok önemli bir araç sağlar.
CUPS İçin Güvenlik Açığı Tarayıcısı Yayınlandı
CUPS, UNIX ve UNIX benzeri sistemlerdeki yazıcıları yönetmek ve kontrol etmek için kullanılan açık kaynaklı bir çerçevedir.
Söz konusu güvenlik açıkları, uzaktaki bir saldırganın ağ yazıcılarını, kullanıcılar yazıcıdan yazdırmaya çalıştığında rastgele kod yürütecek şekilde eklemesine veya yeniden yapılandırmasına olanak tanıyor.
CVE-2024-47176 güvenlik açığı, cup-browsed’ın kontrol bağlantı noktasını (UDP bağlantı noktası 631) INADDR_ANY’ye bağlayarak onu dünyaya açık hale getirmesi ve kimliği doğrulanmamış isteklere izin vermesi nedeniyle ortaya çıkıyor.
Tarayıcı, UDP bağlantı noktası 631’de göz atılan bardaklara özel hazırlanmış bir UDP paketi göndererek çalışır ve bunun, saldırganın kontrolü altındaki kötü amaçlı bir URL’ye ulaşmasına neden olur.
Ancak tarayıcı, RCE güvenlik açığından yararlanmak yerine, bu mekanizmayı kullanarak güvenlik açığı bulunan bardaklara göz atılan bir örneği tarayıcının kendi sunucusuna bir HTTP isteği (geri arama) göndererek kendisini savunmasız olarak tanımlıyor.
Cups_scanner.py adlı tarayıcı, geçici bir HTTP sunucusu kurmak ve UDP paketlerini belirtilen IP aralığına göndermek de dahil olmak üzere kullanıcı için her şeyi yönetir. Araç GitHub’dan indirilebilir.
HTTP sunucusu, güvenlik açığı bulunan bardaklara göz atılan örneklerden gelen geri aramaları yakalar ve bunları diske kaydeder. Tarayıcı, kullanıcı dostu günlükler ve ham HTTP istekleri sağlayarak, savunmasız sistemlerin tanımlanmasını ve ele alınmasını kolaylaştırır.
Geri arama sunucusunu 1337 numaralı bağlantı noktasında barındıran 10.0.0.1 IP adresinden 10.0.0.0/24 gibi bir CIDR aralığını taramak için aşağıdaki komut kullanılabilir:
python3 cups_scanner.py --targets 10.0.0.0/24 --callback 10.0.0.1:1337
Multiple CIDRs can also be scanned by separating them with commas:
python3 cups_scanner.py --targets 10.0.0.0/24,10.0.1.0/24 --callback 10.0.0.1:1337
Yamalar mevcut olana kadar kuruluşlara, gerekli değilse bardaklara göz atma hizmetini devre dışı bırakmaları ve kaldırmaları ve UDP bağlantı noktası 631’e giden trafiği engellemeleri veya kısıtlamaları önerilir.
Red Hat ve diğer Linux dağıtımları şu anda bu sorunları çözmek için yamalar üzerinde çalışıyor.
Bu güvenlik açığı tarayıcısının piyasaya sürülmesi, BT güvenlik ekiplerine bu riskleri belirleyip azaltmaları ve ağlarının ve sistemlerinin güvenliğini sağlamaları için kritik bir araç sağlıyor. Kuruluşların bu güvenlik açıklarına karşı korunmak için derhal harekete geçmeleri isteniyor.