Linux ve Unix sistemlerini etkileyen CUPS açıkları RCE’ye yol açabilir


Güvenlik araştırmacısı Simone Margaritelli, çok fazla abartılı reklam ve üçüncü bir tarafça zamanından önce sızdırılan bilgilerin ardından, Ortak UNIX Yazdırma Sisteminde (CUPS) bulunan ve zayıf noktalarda kod yürütmek için uzaktan, kimliği doğrulanmamış saldırganlar tarafından kötüye kullanılabilecek dört sıfır gün güvenlik açığı hakkında ayrıntılı bilgi yayınladı. Linux ve Unix benzeri sistemler.

CUPS güvenlik açıkları

CUPS, kurulu olan bir bilgisayarın yazdırma sunucusu olarak görev yapmasına olanak tanıyan açık kaynaklı bir yazdırma sistemidir. Linux Vakfı’na bağlı özgür bir yazılım kuruluşu olan OpenPrinting tarafından geliştirilmiştir.

CUPS, istemci bilgisayarlar tarafından gönderilen yazdırma işlerini İnternet Yazdırma Protokolü (IPP) aracılığıyla yerel veya ağa bağlı yazıcılara yönlendirir ve yönetir.

Margaritelli (aka EvilSocket) tarafından keşfedilen güvenlik açıkları birçok CUPS bileşenini/paketini etkiliyor:

  • CVE-2024-47176içinde bardaklara göz atıldı (sürüm 2.0.1’e kadar) saldırganların paketleri IPP varsayılan bağlantı noktası (UDP 631) aracılığıyla göndermesine ve keyfi, saldırgan tarafından kontrol edilen URL’ler istemesi için kandırmasına olanak tanıyan yardımcı arka plan programı
  • CVE-2024-47076içinde libcupsfilters (sürüm 2.1b1’e kadar) saldırganların kötü amaçlı verileri diğer CUPS bileşenlerine aktarmasına olanak tanır
  • CVE-2024-47175içinde libppd (sürüm 2.1b1’e kadar) saldırganların, CUPS bileşenlerine aktarmak üzere geçici PPD dosyasına kötü amaçlı veriler eklemesine olanak tanır
  • CVE-2024-47177içinde bardak-filtreler (sürüm 2.0.1’e kadar) saldırganların isteğe bağlı komutları yürütmesine olanak tanır. FoomaticRIPKomut Satırı PPD parametresi

Bu kusurlardan bazılarını zincirleyerek, “kimliği doğrulanmamış uzak bir saldırgan, mevcut yazıcıların IPP URL’lerini sessizce kötü amaçlı bir URL ile değiştirebilir (veya yenilerini yükleyebilir), bu da bir yazdırma işi başlatıldığında (bilgisayarda) rastgele komut yürütülmesine neden olabilir (bundan sonra). bilgisayar),” Margaritelli açıkladı.

Komut yürütmeyi tetiklemek için kullanıcının kötü amaçlı yazıcıda bir yazdırma işi başlatması gerekir.

Rapid7 araştırmacıları, “Araştırmacının açıklama bloguna göre, eğer UDP bağlantı noktası 631 açığa çıkarsa ve savunmasız hizmet dinliyorsa, etkilenen sistemler genel internetten veya ağ bölümleri üzerinden kullanılabilir” dedi.

Kimler etkilendi ve ne yapmalı?

CUPS çoğu Linux dağıtımı ve bazı BSD dağıtımları tarafından kullanılır. Bazıları bunu varsayılan olarak etkinleştirir, bazıları ise etkinleştirmez. (CUPS’un bir sürümü de macOS ve iOS ile birlikte gönderilir.)

OpenPrinting, CVE-2024-47176 için bazı düzeltmeler ve geçici bir çözüm yayınladı ve çeşitli dağıtımlar bunları taşımak için çalışıyor.

Güncellenen CUPS paketlerini beklerken Margaritelli, CUPS paketlerinin devre dışı bırakılmasını ve/veya kaldırılmasını tavsiye ediyor bardaklara göz atıldı hizmeti ve “sisteminizin güncellenememesi ve herhangi bir nedenle bu hizmete güvenmeniz durumunda engelleyin[ing] UDP bağlantı noktası 631’e giden tüm trafik ve muhtemelen tüm DNS-SD trafiği.

Red Hat, müşterilerinin olup olmadığını nasıl kontrol edebileceklerini açıkladı. bardaklara göz atıldı sistemlerinde çalışıyor ve yeniden başlatma sırasında çalışmasının ve yeniden başlatılmasının nasıl durdurulacağı.

Margaritelli, potansiyel olarak savunmasız cihazlardan oluşan yüz binlerce cihaz bulduğunu söylüyor. Güvenilir araştırmacılar Shodan ve FOFA’yı (internet bağlantılı cihazlar için arama motorları) kullanmayı denediler ve “internet erişimine sahip görünen önemli sayıda ana bilgisayar ve sonuçların çoğunluğunun varsayılan bağlantı noktası olan 631’i kullandığını” buldular.

Şu ana kadar bu kusurların saldırganlar tarafından istismar edildiğine dair herhangi bir rapor bulunmuyor ancak Margaritelli’nin yaptığı da dahil olmak üzere kavram kanıtlama (PoC) istismarları halka açık.

Tenable kıdemli personel araştırma mühendisi Satnam Narang, Help Net Security’ye “Topladığımıza göre bu kusurlar Log4Shell veya Heartbleed düzeyinde değil” dedi.

“Bu en son güvenlik açıklarına odaklanan kuruluşlar için, en etkili ve endişe verici kusurların, fidye yazılımı bağlı kuruluşlarının yanı sıra ulus devletlerle bağları olan gelişmiş kalıcı tehdit grupları tarafından istismar edilmeye devam edilen bilinen güvenlik açıkları olduğunu vurgulamak önemlidir. bunlar her yıl şirketlerden milyonlarca dolar çalıyor.”




Source link