Um novo conjunto de vulnerabilidades de segurança foi divulgado no OpenPrinting Widespread Unix Printing System (CUPS) em sistemas Linux que pode permitir a execução remota de comandos sob certas condições.
“Um invasor remoto não autenticado pode substituir silenciosamente os URLs IPP das impressoras existentes (ou instalar novas) por um malicioso, resultando na execução arbitrária de comandos (no computador) quando um trabalho de impressão é iniciado (a partir desse computador)”, pesquisadora de segurança Simone Margaritelli disse.
CUPS é um sistema de impressão de código aberto baseado em padrões para Linux e outros sistemas operacionais semelhantes ao Unix, incluindo ArchLinux, Debian, Fedora, Pink Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE e SUSE Linux .
A lista de vulnerabilidades é a seguinte –
- CVE-2024-47176 – cups-browsed <= 2.0.1 vincula-se ao UDP INADDR_ANY:631 confiando em qualquer pacote de qualquer fonte para acionar uma solicitação IPP Get-Printer-Attributes para uma URL controlada pelo invasor
- CVE-2024-47076 – libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 não valida ou limpa os atributos IPP retornados de um servidor IPP, fornecendo dados controlados pelo invasor para o resto do sistema CUPS
- CVE-2024-47175 – libppd <= 2.1b1 ppdCreatePPDFromIPP2 não valida ou limpa os atributos IPP ao gravá-los em um arquivo PPD temporário, permitindo a injeção de dados controlados pelo invasor no PPD resultante
- CVE-2024-47177 – cups-filters <= 2.0.1 foomatic-rip permite a execução arbitrária de comandos por meio do parâmetro FoomaticRIPCommandLine PPD
Uma consequência líquida dessas deficiências é que elas podem ser transformadas em uma cadeia de exploração que permite a um invasor criar um dispositivo de impressão falso e malicioso em um sistema Linux exposto à rede executando o CUPS e acionar a execução remota de código ao enviar um trabalho de impressão.
“O problema surge devido ao tratamento inadequado dos anúncios de ‘Nova impressora disponível’ no componente ‘navegado por cups’, combinado com a má validação por ‘cups’ das informações fornecidas por um recurso de impressão malicioso”, disse a empresa de segurança de rede Ontinue.
“A vulnerabilidade decorre da validação inadequada dos dados da rede, permitindo que os invasores façam com que o sistema vulnerável instale um driver de impressora malicioso e, em seguida, envie um trabalho de impressão para esse driver, acionando a execução do código malicioso. O código malicioso é executado com os privilégios de o usuário lp – não o superusuário 'root'.”
A RHEL, em comunicado, disse que todas as versões do sistema operacional são afetadas pelas quatro falhas, mas observou que elas não são vulneráveis em sua configuração padrão. Ele classificou os problemas como importantes em termos de gravidade, visto que o impacto no mundo actual provavelmente será baixo.
“Ao encadear este grupo de vulnerabilidades, um invasor poderia potencialmente conseguir a execução remota de código, o que poderia levar ao roubo de dados confidenciais e/ou danos a sistemas críticos de produção”, afirmou.
A empresa de segurança cibernética Rapid7 apontou que os sistemas afetados são exploráveis, seja a partir da Web pública ou através de segmentos de rede, apenas se a porta UDP 631 estiver acessível e o serviço vulnerável estiver escutando.
A Palo Alto Networks divulgou que nenhum de seus produtos e serviços em nuvem contém os pacotes de software program relacionados ao CUPS mencionados acima e, portanto, não são afetados pelas falhas.
Patches para as vulnerabilidades estão sendo desenvolvidos e devem ser lançados nos próximos dias. Até então, é aconselhável desabilitar e remover o serviço cups-browsed se não for necessário, e bloquear ou restringir o tráfego para a porta UDP 631.
“Parece que as vulnerabilidades RCE não autenticadas do Linux embargadas, que foram apontadas como o dia do juízo remaining para os sistemas Linux, podem afetar apenas um subconjunto de sistemas”, disse Benjamin Harris, CEO da WatchTowr, em um comunicado compartilhado com o The Hacker Information.
“Diante disso, embora as vulnerabilidades em termos de impacto técnico sejam graves, é significativamente menos provável que máquinas desktop/estações de trabalho executando CUPS sejam expostas à Web da mesma maneira ou em números que as edições de servidor típicas do Linux seriam.”
Satnam Narang, engenheiro sênior de pesquisa da Tenable, disse que essas vulnerabilidades não estão no nível de Log4Shell ou Heartbleed.
“A realidade é que em uma variedade de softwares, sejam eles de código aberto ou fechado, há um número incontável de vulnerabilidades que ainda precisam ser descobertas e divulgadas”, disse Narang. “A pesquisa de segurança é important para este processo e podemos e devemos exigir melhor dos fornecedores de software program”.
“Para as organizações que estão se aprimorando nessas vulnerabilidades mais recentes, é importante destacar que as falhas mais impactantes e preocupantes são as vulnerabilidades conhecidas que continuam a ser exploradas por grupos avançados de ameaças persistentes com ligações a estados-nação, bem como afiliados de ransomware. que roubam milhões de dólares de corporações todos os anos.”