Zraniteľnosti v tlačovom subsystéme pre Unix a Linux možno zneužiť na vzdialené vykonanie kódu

Implementácia internetového tlačového protokolu IPP pre unixové systémy CUPS obsahuje 4 zraniteľnosti, z ktorých jedna je označená ako kritická. Zreťazením zraniteľností by vzdialený neautentifikovaný útočník mohol získať kontrolu nad parametrami v súbore PPD a možnosť vzdialene vykonávať kód.

Zraniteľné systémy:

• cups-filters 2.0.1 a staršie
• libcupsfilters 2.1b1 a staršie
• libppd 2.1b1 a staršie
• cups-browsed 2.0.1 a staršie

Tieto služby sú prítomné na väčšine unixových systémov, vrátane väčšiny distribúcií GNU/Linux, BSD, Solaris a Chromium/ChromeOS.

Opis činnosti:

Modulárny tlačový subsystém CUPS (Common UNIX Printing System) pre operačné systémy na báze Unix, ktorý je implementáciou protokolu IPP (Internet Printing Protocol), obsahuje 1 kritickú a 3 vysoko závažné zraniteľnosti. Ich kombináciou môže vzdialený neautentifikovaný útočník dosiahnuť schopnosť vzdialene vykonávať kód na zariadení, odkiaľ bola spustená tlačová úloha. Vzhľadom na povahu CUPS môže útočník zneužiť zraniteľnosti priamo z internetu.

CVE-2024-47177 (CVSS skóre 9,0)

Kritická zraniteľnosť v cups-filters. Tlačový filter foomatic-rip umožňuje vykonávať ľubovoľné príkazy vo FoomaticRIPCommandLine. Útočník na to môže zneužiť hodnoty v súbore PPD, ktorý ich posúva konzole.

CVE-2024-47076 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť v knižnici libcupsfilters. Chýbajúca sanitizácia a validácia atribútov prijímaných zo servera IPP vo funkcii cfGetPrinterAttributes5 umožňuje útočníkovi podvrhnúť dáta ďalším súčastiam systému CUPS.

CVE-2024-47175 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť v libppd. Vo funkcii ppdCreatePPDFromIPP2 chýba sanitizácia a validácia IPP atribútov zapisovaných do súboru PPD, čo umožňuje útočníkom kontrolovať obsah súboru PPD.

CVE-2024-47176 (CVSS skóre 8,3)

Vysoko závažná zraniteľnosť v cups-browsed. Tento komponent CUPS počúva na UDP porte 631 bez kontroly zdroja komunikácie. Útočník tak môže spôsobiť vykonanie požiadavky Get-Printer-Attributes IPP z URL adresy, ktorú má pod kontrolou.

Možné škody:

• Vzdialené vykonávanie príkazov a kódu

Odporúčania:

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné aktualizácie. Odporúčame sledovať stránku výrobcu a po vydaní aktualizácií bezodkladne vykonať aktualizáciu zasiahnutých systémov.

Pre mitigáciu zraniteľností odporúčame zakázať a odobrať službu cups-browsed, alebo na firewalle blokovať sieťovú komunikáciu na UDP port 631 a komunikáciu súvisiacu s protokolmi zeroconf, mDNS a DNS-SD.

Odkazy:

• https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Summary
• https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/
• https://nvd.nist.gov/vuln/detail/CVE-2024-47177
• https://nvd.nist.gov/vuln/detail/CVE-2024-47076
• https://nvd.nist.gov/vuln/detail/CVE-2024-47175
• https://nvd.nist.gov/vuln/detail/CVE-2024-47176