Linux sistemlerinde OpenPrinting Common Unix Printing System’de (CUPS), belirli koşullar altında uzaktan komut yürütülmesine izin verebilecek yeni bir dizi güvenlik açığı ortaya çıktı.
Güvenlik araştırmacısı Simone, “Kimliği doğrulanmamış uzak bir saldırgan, mevcut yazıcıların IPP URL’lerini sessizce kötü amaçlı bir URL ile değiştirebilir (veya yenilerini yükleyebilir), bu da bir yazdırma işi başlatıldığında (bu bilgisayardan) rastgele komut yürütülmesine neden olabilir.” Margaritelli dedi.
CUPS, Linux ve ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE ve SUSE Linux dahil diğer Unix benzeri işletim sistemleri için standartlara dayalı, açık kaynaklı bir yazdırma sistemidir. .
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2024-47176 – cup-browsed <= 2.0.1, saldırgan tarafından kontrol edilen bir URL'ye Get-Printer-Attributes IPP isteğini tetiklemek için herhangi bir kaynaktan gelen herhangi bir pakete güvenerek UDP INADDR_ANY:631'e bağlanır
- CVE-2024-47076 – libcupsfilters <= 2.1b1 cfGetPrinterAttributes5, bir IPP sunucusundan döndürülen IPP niteliklerini doğrulamaz veya temizlemez, CUPS sisteminin geri kalanına saldırgan tarafından kontrol edilen veriler sağlanır
- CVE-2024-47175 – libppd <= 2.1b1 ppdCreatePPDFromIPP2, IPP niteliklerini geçici bir PPD dosyasına yazarken doğrulamaz veya temizlemez, sonuçta ortaya çıkan PPD'ye saldırgan tarafından kontrol edilen verilerin eklenmesine izin verir
- CVE-2024-47177 – cup-filters <= 2.0.1 foomatic-rip, FoomaticRIPCommandLine PPD parametresi aracılığıyla isteğe bağlı komut yürütülmesine izin verir
Bu eksikliklerin net bir sonucu, bir saldırganın CUPS çalıştıran ağa açık bir Linux sisteminde kötü amaçlı, sahte bir yazdırma cihazı oluşturmasına ve bir yazdırma işi gönderildikten sonra uzaktan kod yürütülmesini tetiklemesine olanak tanıyan bir yararlanma zincirine dönüştürülebilmesidir.
Ağ güvenlik şirketi Ontinue, “Sorun, ‘bardaklara göz atıldı’ bileşenindeki ‘Yeni Yazıcı Kullanılabilir’ duyurularının yanlış işlenmesi ve kötü niyetli bir yazdırma kaynağı tarafından sağlanan bilgilerin ‘bardaklar’ tarafından yetersiz doğrulanması nedeniyle ortaya çıkıyor.” dedi.
“Güvenlik açığı, ağ verilerinin yetersiz doğrulanmasından kaynaklanıyor ve saldırganların savunmasız sistemin kötü amaçlı bir yazıcı sürücüsü yüklemesine ve ardından bu sürücüye bir yazdırma işi göndererek kötü amaçlı kodun yürütülmesini tetiklemesine olanak tanıyor. Kötü amaçlı kod, şu ayrıcalıklarla yürütülüyor: lp kullanıcısı – süper kullanıcı ‘root’ değil.”
RHEL, bir danışma belgesinde, işletim sisteminin tüm sürümlerinin dört kusurdan etkilendiğini ancak varsayılan yapılandırmalarında bu güvenlik açığına sahip olmadıklarını belirtti. Gerçek dünyadaki etkisinin muhtemelen düşük olacağı göz önüne alındığında, sorunları ciddiyet açısından Önemli olarak etiketledi.
“Bir saldırgan, bu güvenlik açıkları grubunu birbirine zincirleyerek potansiyel olarak uzaktan kod yürütmeyi başarabilir ve bu da hassas verilerin çalınmasına ve/veya kritik üretim sistemlerine zarar verilmesine neden olabilir” dedi.
Siber güvenlik firması Rapid7, etkilenen sistemlerin, yalnızca UDP bağlantı noktası 631’e erişilebilir olması ve savunmasız hizmetin dinlemesi durumunda, halka açık internetten veya ağ bölümleri üzerinden yararlanılabileceğine dikkat çekti.
Palo Alto Networks, ürünlerinin ve bulut hizmetlerinin hiçbirinin yukarıda belirtilen CUPS ile ilgili yazılım paketlerini içermediğini ve bu nedenle kusurlardan etkilenmediğini açıkladı.
Güvenlik açıklarına yönelik yamalar şu anda geliştirilmekte ve önümüzdeki günlerde yayınlanması bekleniyor. O zamana kadar, gerekmiyorsa bardaklara göz atma hizmetinin devre dışı bırakılması ve kaldırılması ve UDP bağlantı noktası 631’e giden trafiğin engellenmesi veya sınırlandırılması önerilir.
WatchTowr CEO’su Benjamin Harris, The Hacker News ile paylaştığı bir açıklamada, “Linux sistemleri için kıyamet günü olarak lanse edilen ambargolu Linux yetkisiz RCE güvenlik açıkları, sistemlerin yalnızca bir alt kümesini etkileyebilir gibi görünüyor” dedi.
“Bu göz önüne alındığında, teknik etki açısından güvenlik açıkları ciddi olsa da, CUPS çalıştıran masaüstü makinelerin/iş istasyonlarının, Linux’un tipik sunucu sürümleriyle aynı şekilde veya sayılarla Internet’e maruz kalma olasılığı önemli ölçüde daha düşüktür.”
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, bu güvenlik açıklarının Log4Shell veya Heartbleed düzeyinde olmadığını söyledi.
Narang, “Gerçek şu ki, ister açık ister kapalı kaynak olsun, çeşitli yazılımlarda henüz keşfedilmemiş ve açıklanmamış sayısız güvenlik açığı bulunmaktadır.” dedi. “Güvenlik araştırması bu süreç için hayati önem taşıyor ve yazılım satıcılarından daha iyisini talep edebiliriz ve etmeliyiz.”
“Bu en son güvenlik açıklarına odaklanan kuruluşlar için, en etkili ve endişe verici kusurların, fidye yazılımı bağlı kuruluşlarının yanı sıra ulus devletlerle bağları olan gelişmiş kalıcı tehdit grupları tarafından istismar edilmeye devam edilen bilinen güvenlik açıkları olduğunu vurgulamak önemlidir. bunlar her yıl şirketlerden milyonlarca dolar çalıyor.”