Güvenlik araştırmacıları, Ortak Unix Yazdırma Sistemindeki kritik güvenlik açıklarıyla ilgili olarak Linux sistemleri için varoluşsal bir krize ilişkin ilk korkuları geri çevirirken, açık kaynak topluluğu hafta sonu nefes almak için biraz zaman ayırdı.
CUPS güvenlik açığı kullanıcı bir yazdırma işi başlattığında saldırganın savunmasız bir sistemin kontrolünü ele geçirmesine olanak tanıyabilir. Ancak araştırmacılar, 2021’deki Log4j kriziyle yapılan ilk karşılaştırmalara rağmen, kullanıcı etkileşimi düzeyinin bu durumu çok daha az endişe verici hale getirdiğini söyledi.
Forrester’ın kıdemli analisti Erik Nost, e-posta yoluyla şunları söyledi: “Ünlülerin güvenlik açıkları kesinlikle haber döngülerini etkilemeye devam ediyor, ancak kuruluşlardan acil müdahale gerektirip gerektirmediğiyle her zaman örtüşmüyor.”
Olarak listelenen kusurlar CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 Ve CVE-2024-47177bir saldırganın yazıcıdaki IPP URL’lerini kötü amaçlı bir sürümle değiştirmesine ve ardından komutları yürütmesine olanak tanıyabilir.
@Evilsocket adıyla anılan güvenlik araştırmacısı Simone Margaritelli, daha önce kusurları keşfetmişti ancak araştırma bulgularının yeterince ele alınmadığı endişesi nedeniyle açıklamayı ileri bir tarihe kaydırdı.
Ambargolu kamuya açıklama planları, güvenlik camiasındaki bazı kişilerin potansiyel istismar riskini abartmasına neden oldu. Log4j krizinden farklı olarak, CUPS güvenlik açığında gereken kullanıcı etkileşimi düzeyi çok daha yüksektir ve bir saldırganın bu açıktan yararlanmayı tetikleyebilmesi için birden fazla adım gerekir.
Kıdemli güvenlik açığı araştırmacısı Yair Mizrahi, “Araştırmacının yazısında hafife alınan bir nokta da, kötü amaçlı yazıcıyı açıktan yararlanarak yerleştirdikten sonra, kod yürütme yükünün yalnızca bir kullanıcı yeni eklenen yazıcıya bir yazdırma işi planladığında tetikleneceğidir” dedi. JFrog, e-posta yoluyla söyledi.
Araştırmacılar, gelecekte CUPS güvenlik açığının gerçek doğası hakkındaki kafa karışıklığını daha iyi giderebilecek bir konunun, ifşa açısından daha iyi koordinasyon olabileceğini söylüyor.
OpenSSF Teknik Danışma Konseyi başkanı Christopher Robinson, “Araştırmacının kamuoyundaki hayal kırıklığı ne yazık ki bu tür büyük, karmaşık iyileştirmelerde arzu edilenden daha yaygın” dedi. “Güvenlik açığı projeyle paylaşılırken önceden net beklentiler ve zaman çizelgeleri oluşturmak, herkesin üzerinde çalıştığı hedefleri açıkça tanımladığı için bu sürtüşmenin ve duyguların azaltılmasına kesinlikle yardımcı olur.”
Sonatype’in kurucu ortağı ve CTO’su Brian Fox, araştırmacılar arasında CUPS hakkında büyük miktarda etkileşim olsa da, herhangi bir koruma olmadan yakalanmaktansa hazırlıklı olmanın daha iyi olduğunu söyledi.
Fox, e-posta yoluyla şunları söyledi: “Neyse ki, Log4Shell seviyesindeki serpintiyi önlemek için geniş hazırlıklara gerek yoktu, ancak habersiz yakalanmak yerine biraz da olsa hazırlıklı olabilmek gerekiyor.” “Önceden uyarılmak her zaman daha iyidir.”
2022 yılında federal Siber Güvenlik İnceleme Kurulu Log4j’nin kullanımının sezgisel olarak korkulandan çok daha düşük oranlarda gerçekleştiğini belirten bir rapor yayınladı. Ancak CSRB, Log4j’yi tamamen çözülmesi yıllar alabilecek “endemik bir güvenlik açığı” olarak nitelendirdi.