Simone Margaritelli, Ortak Unix Yazdırma Sisteminde (CUPS) tüm GNU/Linux sistemlerini etkileyen ciddi bir uzaktan kod yürütme (RCE) güvenlik açığını ortaya çıkardı.
Simone Margaritelli daha önce tüm GNU/Linux sistemlerini etkileyen kimliği doğrulanmamış RCE kusuru hakkında bilgi vermişti, şimdi ise teknik ayrıntıları açıkladı.
Dört farklı CVE (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) içeren kusur, kimliği doğrulanmamış saldırganların savunmasız sistemler üzerinde rastgele komutlar yürütmesine olanak tanıyarak önemli bir tehdit oluşturur. ağ güvenliği.
“Genel güvenlik açısından bakıldığında, günümüzdeki haliyle bütün bir Linux sistemi, istismar edilmeyi bekleyen sonsuz ve umutsuz bir güvenlik açıkları yığınından başka bir şey değil.”
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Bir güvenlik araştırmacısı güvenlik açığını keşfetti ve kapsamlı bir yazıda bulguları ayrıntılarıyla anlattı. Araştırmacı, CUPS sisteminde aşağıdakiler de dahil olmak üzere birçok kritik sorun tespit etti:
- CVE-2024-47176:
cups-browsedHizmet, UDP bağlantı noktası 631’e bağlanır ve herhangi bir kaynaktan gelen herhangi bir paketin, saldırgan tarafından kontrol edilen bir URL’ye Get-Printer-Attributes IPP isteğini tetiklemesine güvenir. - CVE-2024-47076:
libcupsfilterskitaplık, bir IPP sunucusundan döndürülen IPP niteliklerini doğrulamaz veya temizlemez, bu da saldırganın kontrol ettiği verileri CUPS sisteminin geri kalanına sağlar. - CVE-2024-47175:
libppdkitaplık, IPP niteliklerini geçici bir PPD dosyasına yazarken doğrulamaz veya temizlemez, bu da sonuçta ortaya çıkan PPD’ye saldırgan tarafından kontrol edilen verilerin eklenmesine izin verir. - CVE-2024-47177:
cups-filterspaket, FoomaticRIPCommandLine PPD parametresi aracılığıyla isteğe bağlı komut yürütülmesine izin verir.
Margaritelli, çalışan tamamen yamalı bir Ubuntu 24.04.1 LTS sisteminde uzaktan kod yürütmek için bu güvenlik açıklarından nasıl yararlanılabileceğini gösterdi. cups-browsed 2.0.1.
Uzaktaki, kimliği doğrulanmamış bir saldırgan, mevcut yazıcıların IPP URL’lerini sessizce kötü amaçlı bir URL ile değiştirebilir (veya yenilerini yükleyebilir), bu da bir yazdırma işi başlatıldığında bilgisayarda rastgele komut yürütülmesine neden olabilir.
Bu güvenlik açıklarından WAN/genel internet aracılığıyla 631 numaralı bağlantı noktasına bir UDP paketi gönderilerek ve LAN üzerinden sıfırconf/mDNS/DNS-SD reklamlarını taklit ederek yararlanılabilir.
Margaritelli, tüm halka açık internet IPv4 aralıklarını taradı ve yüz binlerce cihazdan geri bağlantı alarak sistemlerin bu güvenlik açıklarına yaygın şekilde maruz kaldığını vurguladı.
Shodan’a göre, UDP bağlantı noktası 631 aracılığıyla güvenilmeyen herhangi bir kaynaktan gelen özel bir paketi kabul eden iyi bir 73k CUPS Sunucusu açığa çıktı.
Güvenlik açıkları çoğu GNU/Linux dağıtımını, bazı BSD’leri, Google Chromium/ChromeOS’u, Oracle Solaris’i ve muhtemelen CUPS’un ve özellikle cups-browsed paketlenmiş
Güvenlik açıkları OpenPrinting projesine bildirildi ve bazı düzeltmeler uygulandı ancak araştırmacı, geliştiricilerin gecikmeleri ve umursamazlıklarını gerekçe göstererek sorumlu açıklama sürecindeki hayal kırıklığını dile getirdi.
Güvenlik açığının ciddiyeti, Red Hat mühendisi tarafından tahmin edilen 9,9’luk ilk CVSS puanıyla vurgulanıyor.
Araştırmacı, etkinin 9,9 puanı garanti etmeyebileceğini kabul etse de, savunmasız paketin kullanım kolaylığı ve yaygın varlığı onu kritik bir sorun haline getiriyor.
Öneriler
- Devre dışı bırakın ve kaldırın
cups-browsedhizmet - Güvenlik güncellemelerinde CUPS paketini güncelleyin
- Güncelleme yapılamıyorsa UDP bağlantı noktası 631’i engelleyin
- Ayrıca DNS-SD’yi de engellemeyi düşünün
Bu bulguların ışığında, kullanıcılara uygulamayı devre dışı bırakmaları ve kaldırmaları önerilir. cups-browsed hizmeti gerekmiyorsa sistemlerinde CUPS paketini güncelleyin ve UDP bağlantı noktası 631’e ve DNS-SD trafiğine giden tüm trafiği engelleyin.
Margaritelli ayrıca tüm CUPS hizmetlerinin, ikili dosyaların ve kitaplıkların sistemlerden kaldırılmasını ve bunların kullanımından kaçınılmasını önerir. sıfırconf/avahi/merhaba dinleyiciler.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin