Debian, Red Hat ve SUSE’nin yanı sıra Apple macOS ve Google Chrome/Chromium’un yanı sıra diğer şeylerin yanı sıra neredeyse tüm GNU/Linux dağıtımlarında kullanılan Ortak Unix Yazdırma Sisteminde (Cups) yeni keşfedilen dört tehlikeli kusur dizisi, sorunun potansiyel kapsamı konusunda güvenlik profesyonelleri için alarm zillerinin çalmasına neden oluyor.
Dört güvenlik açığı, Evilsocket olarak da bilinen araştırmacı Simone Margaritelli tarafından ortaya çıkarıldı; kendisi ilk yazısını ve değerlendirmesini, sınırlı ayrıntıların GitHub aracılığıyla koordineli açıklama öncesinde bir sızıntı olarak yayınlanmasının ardından yayınladı; Computer Weekly’nin anladığı bir şey bu değildi. 6 Ekim Pazar gününe kadar gerçekleşecek.
Yazısında Margaritelli, sorumlu bir açıklama sürecini takip etmeye çalışırken kendisini, konuyu ciddiye almak istemeyen umursamaz geliştiricilerle mücadele ederken bulduğunu söyledi.
Güvenlik açıkları CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 ve CVE-2024-47177 olarak takip ediliyor ve toplu olarak 76.000’den fazla cihazın (42.000’i genel erişime açık bağlantıları kabul ediyor) olduğuna inanılıyor. risk altında olabilir. Margaritelli paylaşımında sayının çok daha yüksek olabileceğini ve 200.000 ile 300.000 arasında cihazın etkilenebileceğini öne sürdü. Kullanıcıları, ihtiyaç duymadıkları takdirde Cups hizmetlerini devre dışı bırakıp kaldırmaya çağırdı.
Cups, Unix benzeri işletim sistemleri için standart bir yazdırma sistemi olarak hizmet eder; bu sistem, esas olarak bilgisayarların yazdırma sunucusu olarak hareket etmesine olanak tanır; Cups’ı çalıştıran bir makine, istemcilerden yazdırma işlerini kabul eden, bunları işleyen ve bir yazıcıya atayan bir ana bilgisayar olarak çalışır. Bazı durumlarda varsayılan olarak etkindir, ancak diğerlerinde etkin değildir, vahşi doğada yaygın olarak kullanılmaktadır.
Bu güvenlik açıkları birbirine zincirlendiğinde, kimliği doğrulanmamış bir saldırganın, bilgisayara kötü amaçlı bir İnternet Yazdırma Protokolü (IPP) URL’sine sahip bir “hayalet” yazıcı ekleyip ardından bir yazdırma işi başlatması durumunda, savunmasız sistemlere karşı uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanır. BT. Ancak saldırganın kurban sunucuda kendi başına bir yazdırma işi başlatmasına izin vermez; yani, makineler yazdırma işi alamazsa saldırı tetiklenemez.
Qualys Tehdit Araştırma Birimi ürün müdürü Saeed Abbasi şunları söyledi: “Bu güvenlik açıkları, kimliği doğrulanmamış uzaktaki bir saldırganın, mevcut yazıcıların IPP URL’lerini sessizce kötü amaçlı URL’lerle değiştirmesine olanak tanıyor. Sonuç olarak, bir yazdırma işi başlatıldığında etkilenen bilgisayarda rastgele komut yürütülmesi gerçekleşebilir. Saldırgan, genel internet üzerinden 631 numaralı bağlantı noktasına özel hazırlanmış bir UDP paketi göndererek herhangi bir kimlik doğrulaması yapmadan güvenlik açıklarından yararlanabilir.
“GNU/Linux sistemleri kurumsal sunucularda, bulut altyapısında ve kritik uygulamalarda yaygın olarak kullanıldığından, güvenlik açığı geniş bir saldırı yüzeyine sahip ve potansiyel olarak dünya çapında çok sayıda sunucuyu, masaüstü bilgisayarı ve gömülü cihazı etkiliyor.
“Saldırganların bu güvenlik açığından yararlanmak için geçerli kimlik bilgilerine ihtiyacı yok. Bu güvenlik açığı, saldırganların rastgele kod çalıştırmasına ve etkilenen sistemler üzerinde potansiyel olarak tam kontrol sahibi olmasına olanak tanıyor. Abbasi, CVSS puanının 9,9 olduğunu ve bu da güvenlik açığının kritik olduğunu gösteriyor” dedi.
“İşletmeler Cups sistemlerinin maruz kalma riskini değerlendirmelidir. Ağ erişimini sınırlayın, gerekli olmayan hizmetleri devre dışı bırakın ve sıkı erişim kontrolleri uygulayın. Bir yama çıkar çıkmaz hızlı yama uygulamaya hazırlanın ve hizmet kesintilerini önlemek için yamaları kapsamlı bir şekilde test edin.”
Log4j ile karşılaştırmalar?
Açık Kaynak Güvenliği Vakfı’nın (OSSF) yönetim kurulu üyesi ve Sonatype CTO’su Brian Fox’a göre, güvenlik açığı zincirinin bu kadar yüksek bir CVSS puanı taşıması gerçeği, istismar edilmesinin nispeten önemsiz olacağını gösterebilir ve Log4Shell ile karşılaştırmalar yapıyor. Apache Log4j2 Java günlük kitaplığında 2021’de keşfedilen ve sorun olmaya devam eden bir güvenlik açığı uygun olabilir.
Fox, “Başarılı bir istismar yıkıcı olabilir; Wi-Fi yönlendiricinizden, ışıkları açık tutan şebekeye kadar her şey Linux üzerinde çalışıyor” dedi. “Düşük karmaşıklık ve yüksek kullanımın bu kombinasyonu Log4Shell’i hatırlatıyor, ancak buradaki kullanım ölçeği çok daha önemli.
“Bu güvenlik açığının bulunması ve düzeltilmesi zaman alacağından, ifşanın aşamalı olarak kaldırılmasının mantığını anlıyorum, ancak aynı zamanda tehdit aktörlerinin taahhüt geçmişini incelemesini ve istismar edilecek ipuçları aramasını da beklemeliyiz.
Fox şunları ekledi: “Daha fazla ayrıntının ortaya çıkmasını beklerken, kurumsal güvenlik ekiplerinin, nerede savunmasız olabileceklerini anlamak ve yama yapmaya hazır olmak için ortamlarını ve SBOM’larını incelemeleri gerekiyor. Tatillerinizi iptal edin… saldırganlara karşı bir yarış olabilir.”
Ancak JFrog’daki araştırma ekibi karşıt bir görüş benimsedi ve Cups’taki güvenlik açıklarını Log4Shell tarzı bir olay olarak nitelendirmekten vazgeçti ve yararlanma önkoşullarının aslında o kadar da yaygın olmadığına inandıklarını söyledi.
“Ne yukarı akışlı projelere ne de herhangi bir Linux dağıtımına sabit bir sürüm yayınlanmamış olsa da, etkilenenler Cups’ta göz atılan hizmeti devre dışı bırakıp kaldırarak, UDP bağlantı noktası 63’e giden tüm trafiği ve tüm DNS-SD trafiğini engelleyerek yükseltme yapmadan bu güvenlik açıklarını azaltabilirler. JFrog Güvenlik Araştırması kıdemli direktörü Shachar Menashe dedi.