Araştırmacı Simone “evilsocket” Margaritelli tarafından yakın zamanda açıklanan Ortak UNIX Yazdırma Sistemi (CUPS) güvenlik açıkları, savunmasız sistemlerde uzaktan komut yürütmek için kolayca istismar edilmese de Akamai tehdit araştırmacıları, DDoS saldırılarına katılan saldırganlara daha fazla fırsat sunabileceğini keşfetti.
RCE potansiyeli
CUPS, İnternet Yazdırma Protokolünü (IPP) temel alan açık kaynaklı bir yazdırma sistemidir. Pek çok Linux, BSD ve diğer sistemlerde mevcut olmasına rağmen CUPS, birçoğunda varsayılan olarak etkin değildir.
Çeşitli CUPS bileşenlerindeki dört güvenlik açığı – CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 ve CVE-2024-47177 – bir kullanıcı eklenmiş kötü amaçlı bir yazıcıda bir yazdırma işi başlattığında komutları uzaktan yürütmek üzere zincirlenebilir Margaritelli keşfetti.
CUPS bakımcıları tarafından düzeltmelerin kısmi olarak yayınlanmasının ardından, çeşitli dağıtımlar sabit paketleri yayınladı veya yayınlamaya hazırlanıyor. Çeşitli PoC istismarları halihazırda kamuya açıklanmış olsa da, vahşi istismar henüz tespit edilmedi.
DDoS Potansiyeli
Akamai araştırmacıları, bildirilen güvenlik açıklarının, savunmasız sistemleri CUPS’un savunmasız bir örneğine özel hazırlanmış bir UDP paketi göndererek “yükselticilere” dönüştürmek için kullanılabileceğini buldu.
Saldırı akışı (Kaynak: Akamai)
Paket, CUPS’a kötü amaçlı bir yazıcı eklemesi talimatını vermek yerine, saldırgan tarafından belirtilen hedefe ve bağlantı noktasına bir IPP/HTTP isteği göndermesi talimatını verir.
“Gönderilen her paket için, savunmasız CUPS sunucusu, belirtilen hedefe yönelik daha büyük ve kısmen saldırgan tarafından kontrol edilen bir IPP/HTTP isteği oluşturacaktır. Sonuç olarak, yalnızca hedef etkilenmekle kalmıyor, aynı zamanda saldırı ağ bant genişliğini ve CPU kaynaklarını tükettiği için CUPS sunucusunun ana bilgisayarı da kurban oluyor.”
DDoS amaçlı trafiğin boyutu, UDP paketindeki yükün boyutuna, savunmasız sistemlerin kullanılabilirliğine ve isteğe nasıl yanıt verdiklerine bağlıdır.
Akamai’nin Güvenlik İstihbaratı ve Müdahale Ekibi, DDoS saldırılarını güçlendirmek için kötüye kullanılabilecek 58.000’den fazla internet bağlantılı savunmasız cihazın bulunduğunu söylüyor.
“Tanımlanan 58.000’den fazla CUPS ana bilgisayarının tamamının aynı kampanyada toplandığını varsayarsak, minimal dolgulu örnekte bu, UDP paketi başına 1 GB’lık gelen saldırı trafiği akınıyla sonuçlanabilir. Maksimum düzeyde doldurulmuş bir senaryo, 6 GB’lık bir trafik akışına neden olabilir” diye hesapladılar.
Böyle bir saldırının etkisi hem hedefler hem de savunmasız CUPS kurulumlarını çalıştıran kuruluşlar tarafından hissedilebileceğinden, araştırmacılar, ikincisini ya CUPS’un en son sürümüne güncellemeye ya da ihtiyaç duymuyorlarsa hizmeti kaldırmaya çağırdı.
“En azından, CUPS yazılımını kaldırmak veya güncellemek mümkün değilse, savunmacılar hizmet bağlantı noktalarını (UDP/631) güvenlik duvarı ile korumalıdır, özellikle de bu bağlantı noktalarına daha geniş bir internet üzerinden erişilebiliyorsa.” tavsiyesinde bulundular.