Neue Linux-RCE-Sicherheitslücke tritt vor der Veröffentlichung auf – Ermöglicht die Ausführung beliebigen Codes über den CUPS Print Scheduler

Kürzlich wurde eine neue Schwachstelle in einem weit verbreiteten Druckserver entdeckt, der auf vielen Linux- und Unix-basierten Systemen mit grafischer Benutzeroberfläche standardmäßig installiert ist. Der primäre Angriffsvektor für die Sicherheitslücke ist CUPS (Gemeinsames Einheitsdrucksystem) Druckplaner, speziell cups-browsed, und hat das Potenzial, Code aus der Ferne auszuführen, ohne dass eine Benutzerinteraktion erforderlich ist.

Berichten zufolge wurde die Schwachstelle mit einem CVSS-Score von bewertet 9.9 von RHEL und Canonical, obwohl diese Punktzahl heiß diskutiert wird, Einige argumentieren, dass es eine niedrigere Punktzahl haben sollte, weil, obwohl Code aus der Ferne auf das System heruntergeladen werden kann, Es kann nicht ohne Benutzereingriff ausgeführt werden. Glücklicherweise, Es gibt keine Hinweise darauf, dass die Sicherheitslücke ausgenutzt wurde, Obwohl die Die Offenlegung erfolgte online vor einer geplanten privaten Enthüllung im Oktober, Aufforderung an den Entwickler, der die Sicherheitslücke entdeckt hat, die vollständige Erklärung in einem zu veröffentlichen schreiben auf ihrem Blog. Dies ist der Fall, Die Sicherheitslücke könnte durchaus von böswilligen Akteuren ausgenutzt werden.

Laut dem langen Blogbeitrag des Forschers, Simone Margaritelli, Dienste im Zusammenhang mit dem CUPS-Drucksystem sind anfällig für die Ausführung von Remotecode. Essentially, Ein angreifendes System überzeugt den Druckplaner davon, dass es sich um einen Drucker handelt, und sendet Malware – bei der es sich um beliebigen ausführbaren Code handeln kann –, die als Druckerkonfigurationsdatei getarnt ist. Dieser Vorgang erfordert keinen Benutzereingriff, da CUPS jedes über den Port gesendete Paket akzeptiert *:631. Das nächste Mal, wenn der Benutzer versucht, etwas zu drucken, Dieser Code kann ausgeführt werden, möglicherweise das System gefährden.

Zusammenfassung

• CVE-2024-47176 | Tassen durchgeblättert <= 2.0.1 bindet an UDP INADDR_ANY:631 Vertrauen Sie jedem Paket von jeder Quelle, um eine Get-Printer-Attributes-IPP-Anfrage an eine vom Angreifer kontrollierte URL auszulösen.
• CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 validiert oder bereinigt die von einem IPP-Server zurückgegebenen IPP-Attribute nicht, Bereitstellung von vom Angreifer kontrollierten Daten für den Rest des CUPS-Systems.
• CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 validiert oder bereinigt die IPP-Attribute nicht, wenn sie in eine temporäre PPD-Datei geschrieben werden, Ermöglicht die Einschleusung von vom Angreifer kontrollierten Daten in die resultierende PPD.
• CVE-2024-47177 | Tassen-Filter <= 2.0.1 foomatic-rip ermöglicht die Ausführung beliebiger Befehle über den PPD-Parameter FoomaticRIPCommandLine.

Der konkrete Exploit hängt von einer Vielzahl ungepatchter Schwachstellen ab, einige über ein Jahrzehnt alt, Dies ist ein besonders besorgniserregendes Problem für diejenigen, die Linux oder Unix verwenden. Damit dieser Angriffsvektor funktioniert, Das System muss über CUPS verfügen (Gemeinsames Unix-Drucksystem) und cups-browsed installiert und läuft, Dies ist die Standardeinstellung für viele Systeme. Laut Margaritelli, there are 200,000-300,000 Systeme, bei denen der Druckdienst derzeit mit dem Internet verbunden ist, obwohl Shodan berichtet (siehe Screenshot oben) dass es in der Nähe gibt 76,000 Systeme mit offenen CUPS-Ports, die mit dem Internet verbunden sind.

Der Forscher behauptet zwar, dass die meisten GNU/Linux-Distributionen – sowie möglicherweise auch ChromeOS und macOS – betroffen sind, Es ist zu beachten, dass es sich bei vielen Linux-Distributionen nicht um die Standardkonfiguration handelt, Dies sollte insbesondere bei großen Servern oder Rechenzentren nicht der Fall sein, Die größte Zielgruppe dürften also private PC-Nutzer sein, die unter Linux laufen.