Linux Dağıtımları Yazıcı Ele Geçirme Kusurunu Düzeltme

Güvenlik araştırmacısı Simone Margaritelli, Linux sistemlerindeki OpenPrinting Common Unix Yazdırma Sistemindeki bir dizi güvenlik kusurunun, belirli koşullar altında uzaktan komut yürütülmesine izin verebileceğini tespit etti.

CUPS, FreeBSD, NetBSD, OpenBSD ve bunların türevleri dahil olmak üzere Unix benzeri işletim sistemlerini çalıştıran cihazlarda desteklenen, Linux sistemlerinde yaygın olarak kullanılan bir yazdırma çözümüdür. Büyük Linux dağıtımları Cuma günü yamalar yayınlayarak tepki gösterdi.

Margaritelli, “Kimliği doğrulanmamış uzak bir saldırgan, mevcut yazıcıların IPP URL’lerini sessizce kötü amaçlı bir URL ile değiştirebilir ve bu da (bu bilgisayardan) bir yazdırma işi başlatıldığında rastgele komut yürütülmesine neden olabilir” dedi.

RedHat tarafından yapılan analiz, başarılı bir istismarın kurbanın kötü amaçlı bir cihazdan yazdırma girişiminde bulunmasını gerektirdiğini ortaya çıkardı. Açık kaynak yazılım geliştiricisi ayrıca Red Hat Enterprise Linux’un tüm sürümlerinin kusurlardan etkilendiğini ancak varsayılan yapılandırmalarında bu güvenlik açığına sahip olmadığını söyledi.

CUPS’un önemli bir bileşeni, yerel ağı paylaşılan veya reklamı yapılan yazıcılar için tarayan ve bunları erişilebilir kılan, bardaklara göz atılan arka plan programıdır. Margaritelli, bardaklara göz atılan arka plan programı açıkken UDP bağlantı noktası 631’i dinlediğini ve ağdaki uzak aygıtların bağlanmasına ve yeni yazıcılar oluşturmasına izin verdiğini keşfetti.

Margaritelli, kötü amaçlı PostScript Yazıcı Açıklama dosyası oluşturdu ve bunu çalışan, açıkta kalan bardaklara göz atılan bir hizmete manuel olarak bildirdi. Bu, uzaktaki makinenin sahte yazıcıyı otomatik olarak yüklemesine ve kullanıma hazır hale getirmesine neden oldu. Güvenlik açığı bulunan makinedeki bir kullanıcı yeni yüklenen bu yazıcıya yazdırma yaparsa, PPD dosyasına gömülü olan kötü amaçlı kod, bilgisayarında yerel olarak yürütülür.

Güvenlik açıkları CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 ve CVE-2024-47177 olarak takip ediliyor.

• CVE 2024-47176: Yazıcı keşfinden sorumlu olan bardaklara göz atma hizmeti, UDP bağlantı noktası 631’i dinler ve uygun kimlik doğrulaması olmadan herhangi bir kaynaktan gelen paketlere güvenir. Bu, saldırganların kötü amaçlı Internet Yazdırma Protokolü istekleri eklemesi için bir giriş noktası oluşturur.
• CVE-2024-47076: libcupsfilters kitaplığı, özellikle cfGetPrinterAttributes5 işlevi, bir IPP sunucusundan alınan IPP niteliklerini düzgün şekilde doğrulamıyor veya temizlemiyor. Bu doğrulama eksikliği, saldırganın sisteme daha fazla aktarılan verileri kontrol etmesine olanak tanıyarak, bu verilerin kötüye kullanılmasını kolaylaştırır.
• CVE-2024-47175: Libppd kitaplığının ppdCreatePPDFromIPP2 işlevi, geçici bir PostScript Yazıcı Açıklama dosyasına yazarken IPP niteliklerini temizlemeyerek, bir saldırganın rastgele veriler eklemesine olanak tanıyor.
• CVE-2024-47177: Bardak filtrelerindeki foomatic-rip filtresi, bir saldırganın FoomaticRIPCommandLine PPD parametresini değiştirerek rastgele komutlar yürütmesine olanak tanıyor.

Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, 9,9 CVSS puanı alan da dahil olmak üzere CUPS yazdırma sistemi kusurları için atanan CVSS puanlarının revize edileceğini söyledi.

“Topladığımız kadarıyla bu kusurlar Log4Shell veya Heartbleed seviyesinde değil. Gerçek şu ki, ister açık ister kapalı kaynak olsun, çeşitli yazılımlarda henüz açıklığa kavuşturulmamış sayısız sayıda güvenlik açığı bulunmaktadır. Narang, “Güvenlik araştırması bu süreç için hayati önem taşıyor ve yazılım satıcılarından daha iyisini talep edebiliriz ve etmeliyiz” dedi.

Kullanıcıların bardaklara göz atma hizmetini devre dışı bırakması veya kaldırması ve mümkünse CUPS paketini en son sürüme güncellemesi önerilir. İstenmeyen ağ trafiğini önlemek için UDP bağlantı noktası 631’in engellenmesi veya ek güvenlik duvarı kurallarının kullanılması da önerilir.