Açık kaynaklı yazdırma sistemi CUPS’ta (çoğu Linux dağıtımında mevcut) kritik bir zincirleme güvenlik açığı (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 ve CVE-2024-47177) tespit edildi. Saldırganlar uzaktan kod yürütmeyi başarabilir ve bu da potansiyel olarak savunmasız sistemin tam kontrolünü sağlayabilir. Detectify müşterileri, sistemlerinin CUPS’un etkilenen sürümlerini çalıştırıp çalıştırmadığını değerlendirebilir.
Bağlam ve kullanılabilirlik
26 Eylül Perşembe günü, güvenlik araştırmacısı evilsocket bir yazı yayınladı CUPS açık kaynaklı yazdırma sistemini etkileyen, kritik önem derecesine sahip GNU/Linux kimliği doğrulanmamış RCE’de yayınlanan bir PoC ile birlikte.
Saldırganlar, kurbanın makinesinde isteğe bağlı kod çalıştırabilir. bardaklara göz atıldı Hizmet, kurbanın erişebildiği bir ağdaki savunmasız aygıta (bir IPP sunucusu aracılığıyla) kötü niyetli bir istek gönderilerek ve kurbanın etkilenen aygıttan bir yazdırma işi çalıştırmasını sağlayarak etkinleştirilir.
Savunmasız mıyım?
Detectify güvenlik araştırmacıları ve mühendisleri, tüm Detectify’a izin veren bir ürün güncellemesi yayınladı. Yüzey İzleme müşterilerin sistemlerinin CUPS’un etkilenen sürümlerini çalıştırıp çalıştırmadığını kontrol etmesini sağlayın. Kullanıcılar şu adresi ziyaret edebilir: Genel Bakış Kullanıcı arayüzündeki bir risk değerlendirme göstergesi için sayfa ve aşağıdakileri yapmaları tavsiye edilir: Yüzey İzleme doğrulamak istedikleri alan adlarında etkindir.
Müşterilerin saldırı yüzeyinde CUPS istismarının risk durumu artık Genel Bakış sayfasında vurgulanıyor.
Güvenlik açıkları keşfedildi
Aşağıdaki dört CVE, bu saldırıyla bağlantılı CUPS güvenlik açıklarına atandı. Saldırganlar zincirlendiğinde potansiyel olarak RCE’yi (uzaktan kod yürütme) çalıştırabilir:
- CVE-2024-47176. bardaklara göz atıldı gelen tüm ağ paketlerine güvenerek saldırganların sisteme kötü amaçlı yazıcılar sokmasına olanak tanır. Özellikle halka açık internetten (saldırgan kontrollü URL) yararlanılarak CUP hizmetlerinin etkinleştirilmesi durumunda çok sayıda sistemi uzaktan saldırılara maruz bırakma potansiyeli nedeniyle endişe vericidir.
- CVE-2024-47076. fonksiyon cfGetPrinterAttributes5 içinde libcupsfilters kütüphanesi Bir IPP sunucusundan alınan IPP niteliklerini temizlemede başarısız olur ve potansiyel olarak bu nitelikler kullanıldığında saldırganların zararlı veriler sunmasına olanak tanır.
- CVE-2024-47175. fonksiyon ppdCreatePPDFromIPP2 içinde libppd kitaplık IPP özniteliklerini temizlemede başarısız olur ve potansiyel olarak saldırganların sisteme kötü amaçlı kod yerleştirmesine olanak tanır.
- CVE-2024-47177. Giriş FoomaticRIPKomut Satırı içinde bardak-filtreler kitaplık, etkilenen aygıta bir yazdırma işi gönderildiğinde CUPS’u bu dosyaya enjekte edilen rastgele komutları yürütmek üzere tetikleyebilir.
Tespit ve düzeltme
Yamalar yayınlanana kadar Detectify bu sorun için aşağıdaki azaltma adımlarını önerir:
- Sisteminizde cup-browsed’ın çalışıp çalışmadığını kontrol edin.
sudo systemctl status cups-browsed - İhtiyacınız yoksa bardaklara göz atma hizmetini devre dışı bırakın ve kaldırın.
sudo systemctl stop cups-browsedsudo systemctl disable cups-browsed - Sistemlerinizdeki CUPS paketini güncelleyin.
- 631/tcp ve 631/udp bağlantı noktalarından gelen trafiğin yanı sıra DNS-SD trafiğini de engelleyin.
Müşteriler her zaman güncellemeleri şurada bulabilirler: “Dedektifte Yenilikler” ürün günlüğü. Sorularınız Müşteri Başarısı temsilcilerine veya Destek ekibine iletilebilir. Zaten müşteri değilseniz, buraya tıklayın Bir demoya veya ücretsiz denemeye kaydolmak ve hemen taramaya başlamak için. Git kendini hackle!