Uzaktan kod yürütmenin, saldırganların yazıcıları ve yazdırma işlerini yönetmek için yakın zamanda Ortak Unix Yazdırma Sisteminde (CUPS) bir araştırmacının açığa çıkardığı kritik dört güvenlik açığından yararlanabilmesinin tek yolunun uzaktan kod yürütme olmadığı ortaya çıktı.
Görünüşe göre bu güvenlik açıkları, saldırganların herhangi bir modern bulut platformunu kullanarak yalnızca birkaç saniye içinde ve 1 sentten daha düşük bir maliyetle önemli miktarda dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmesine de olanak tanıyor.
Çok Sayıda Potansiyel DDoS Saldırı Sistemi
İnternet’e açık yaklaşık 58.000 cihaz şu anda saldırıya karşı savunmasız durumda ve hedef sistemlerde sonsuz bir bağlantı denemesi ve istek akışı başlatmak üzere nispeten kolaylıkla seçilebilirler. 58.000 savunmasız ana bilgisayarın tamamını bir araya toplayan bir saldırgan, savunmasız CUPS ana bilgisayarlarının her birine küçük bir istek gönderebilir ve bunların 1 GB ile 6 GB arasında gereksiz veriyi hedef sisteme yönlendirmesini sağlayabilir.
Akamai’deki araştırmacılar bu hafta yeni saldırı vektörünü keşfettikten sonra şöyle dedi: “Bu bant genişliği rakamları çığır açıcı sayılmasa da, her iki senaryoda da hedefin yaklaşık 2,6 milyon TCP bağlantısını ve HTTP isteğini yönetme ihtiyacıyla sonuçlanacaktır.”
BARDAKLAR Linux ve macOS dahil Unix benzeri işletim sistemleri için İnternet Yazdırma Protokolü (IPP) tabanlı açık kaynaklı bir yazdırma sistemidir. Bilgisayarların yazıcıları ve yazdırma işlerini yönetmesi için standart bir yol sağlar.
Bağımsız güvenlik araştırmacısı Simone Margaritelli Geçen hafta CUPS’ta, bir saldırganın dört farklı güvenlik açığının bir kombinasyonunu kullanarak URL’leri değiştirerek kötü amaçlı komutları uzaktan yürütmesine izin verebilecek ciddi bir kusur ortaya çıktı. Güvenlik açıkları, bir ağda yazıcı keşfini ve yönetimini basitleştirmeye yönelik bir bileşen olan “bardağa göz atılan” bileşendeki CVE-2024-47176’dır; “libcupsfilters” yazılım kitaplığında CVE-2024-47076; “libppd” kitaplığında CVE-2024-47175; ve “bardak filtreleri” paketindeki CVE-2024-47177.
Margaritelli, güvenlik açıklarının çoğu GNU/Linux dağıtımını, bazı BSD’leri, Oracle Solaris’i, potansiyel olarak Google Chrome OS ve Chromium’u ve diğer işletim sistemlerini etkilediğini açıkladı. “Bu istismarın kısa versiyonu, bardaklara göz atılan belirli yapılandırmaların ve ilgili CUPS kitaplıklarının her birinin, bir araya getirildiğinde, bir saldırganın hedef sisteme karşı keyfi komutlar yürütmesine ve potansiyel olarak sistemin kontrolünü ele geçirmesine olanak tanıyan güvenlik açıklarına sahip olmasıdır, açık kaynak Ve yazılım malzeme listesi yönetimi satıcısı Fossa bir analizde söyledi.
Tek Gereken Tek Paket
Margaritelli’nin araştırması, saldırganların CUPS ana bilgisayarlarının kontrolünü ele geçirmek için güvenlik açıklarından nasıl yararlanabileceğine odaklandı. Akamai’nin keşfettiği şey, bir tehdit aktörünün bunları DDoS saldırıları için de kullanabileceğiydi. Akamai, “Sorun, bir saldırganın eklenecek yazıcı olarak hedefin adresini belirten hazırlanmış bir paket göndermesiyle ortaya çıkıyor” dedi. “Gönderilen her paket için, savunmasız CUPS sunucusu, belirtilen hedefe yönelik daha büyük ve kısmen saldırgan tarafından kontrol edilen bir IPP/HTTP isteği oluşturacaktır.” Akamai, birinin saldırı başlatması için gereken tek şeyin, İnternet bağlantısı olan savunmasız bir CUPS hizmetine kötü niyetli olarak hazırlanmış tek bir paket göndermek olduğunu buldu.
Akamai güvenlik araştırmacısı Kyle Lefton, daha önce bildirilen RCE istismarının daha tehlikeli olduğunu ancak bir tehdit aktörünün DDoS güvenlik açığından faydalanmasının çok daha kolay olduğunu söylüyor. “Kuruluşların bu güvenlik açığından yararlanan saldırılar görmeye başlaması muhtemeldir, bu da yalnızca DDoS saldırılarının hedefleri için değil, aynı zamanda savunmasız CUPS sunucularını çalıştıranlar için de sorunlara neden olur” diyor. “Buradan çıkarılacak en önemli çıkarım, eski CUPS sistemlerine yama uygulanmasının veya gereksiz görüldüğü takdirde CUPS’un kaldırılması veya UDP bağlantı noktası 631 için güvenlik duvarı kurallarının uygulanması ve bunların genel İnternet’e erişmesinin engellenmesi gibi diğer hafifletme tekniklerinin uygulanmasının önemini vurgulamaktır.”
Akamai araştırmacıları, İnternet üzerinden erişilebilen toplam 198.000 savunmasız CUPS ana bilgisayarı keşfetti. Bunların yüzde 34’ü, yani 58.000’den fazlası, DDoS saldırılarına karşı savunmasız durumda. Akamai, bir tehdit aktörünün, savunmasız bir CUPS ana bilgisayarına tek bir kötü amaçlı UDP paketi göndermek için basit bir komut dosyası kullanarak bu sistemlerin saldırı trafiğini yaymaya başlamasını sağlayabileceğini buldu. URL yükünü doldurarak (veya fazladan ve genellikle alakasız karakterler veya veriler ekleyerek) saldırı trafiği hacimlerini önemli ölçüde artırabileceklerini buldular.
Akamai’nin baş güvenlik araştırmacısı Larry Cashdollar, bir CUPS ana bilgisayarının DDoS saldırısına karşı savunmasızlığının aslında yapılandırmasına bağlı olduğunu söylüyor. Cashdollar, “Ağ yöneticilerinin, yazıcılardan giden trafiği engellemek için ek güvenlik duvarlarına sahip olması veya sistem yöneticilerinin, diğer savunmasız ana bilgisayarlarda yazıcı sunucularını sağlamlaştırmayı yapmış olması mümkündür” diyor.
Sunucu Donanımındaki Zorlanma
Lefton, sorun yaratan bir şekilde, savunmasız CUPS sistemlerini çalıştıran kuruluşlar DDoS saldırılarının hedefi olmasa da, saldırıların sunucu donanımını zorlayabileceğini ekliyor. “Bu CUPS sistemlerinden bazılarının, HTTPS korumalı web sitelerine TLS anlaşmalarını tamamladığını, bunun da el sıkışma ve şifreleme/şifre çözme işlemleri nedeniyle sunucu donanımı ve kaynak tüketimi yükü üzerinde daha fazla yük yarattığını doğruladık.”
DDoS saldırıları her ne kadar iyi anlaşılsa da hala devam ediyor bir meydan okuma sunmak birçok kuruluş için. Her ne kadar birçok şirket bu konuda sağlam önlemler uygulamış olsa da DDoS saldırılarına karşı koruma ve etkileri hafifleten bu saldırıların sayısı daha da arttı. Cloudflare’den son numaralar DDoS saldırılarında yıldan yıla %20 artış görüldü; şirket, yalnızca bu yılın ilk altı ayında 8,5 milyon DDoS saldırısını hafiflettiğini söyledi. Cloudflare, bu eğilimi en azından kısmen, saldırı kodunu daha iyi ve daha hızlı yazmaya yönelik üretken yapay zeka (GenAI) araçları ve otopilot sistemlerindeki artış sayesinde daha fazla tehdit aktörünün bir zamanlar yalnızca ulus devlet aktörlerinin erişebildiği yeteneklere erişmesine bağladı.