Μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο σύστημα εκτύπωσης ανοιχτού κώδικα Common Unix Printing System (CUPS) μπορεί να αξιοποιηθεί από χάκερ για την έναρξη επιθέσεων DDoS, με συντελεστή ενίσχυσης 600x.
Δείτε επίσης: Παραλλαγή του XWorm παραδίδεται μέσω Windows Script File
Οι επιθέσεις DDoS (Distributed Denial of Service) αποτελούν μια από τις πιο συνηθισμένες μορφές κυβερνοεπιθέσεων σήμερα. Κατά τη διάρκεια μιας επίθεσης DDoS, ένας μεγάλος αριθμός υπολογιστών, οι οποίοι συνήθως είναι μολυσμένοι με κακόβουλο λογισμικό, χρησιμοποιούνται για να πλημμυρίσουν ένα δίκτυο ή διακομιστή με ασυνήθιστα μεγάλο αριθμό αιτήσεων. Ο στόχος μιας τέτοιας επίθεσης είναι να υπερφορτώσει τους πόρους του στόχου, με αποτέλεσμα να γίνει αδύνατη η πρόσβαση σε αυτόν από νόμιμους χρήστες. Αυτό μπορεί να δημιουργήσει σημαντικές δυσλειτουργίες, καθυστερήσεις και ακόμη και πλήρη διακοπή λειτουργίας των υπηρεσιών ενός οργανισμού, προκαλώντας σημαντικές απώλειες εισοδήματος και φήμης.
Όπως ανακάλυψαν οι ερευνητές ασφαλείας της Akamai, ένα ελάττωμα ασφαλείας CVE-2024-47176 στον cups-browsed daemon, το οποίο μπορεί να συνδεθεί με τρία άλλα σφάλματα για να επιτευχθεί απομακρυσμένη εκτέλεση κώδικα σε συστήματα τύπου Unix μέσω ενός μόνο πακέτου UDP, μπορεί επίσης να αξιοποιηθεί για την ενίσχυση επιθέσεων DDoS.
Η ευπάθεια ενεργοποιείται όταν ένας εισβολέας στέλνει ένα ειδικά κατασκευασμένο πακέτο, ξεγελώντας έναν διακομιστή CUPS ώστε να αντιμετωπίσει έναν στόχο ως εκτυπωτή που θα προστεθεί.
Κάθε πακέτο που αποστέλλεται σε ευάλωτους διακομιστές CUPS τους προτρέπει να δημιουργήσουν μεγαλύτερα αιτήματα IPP/HTTP που στοχεύουν στη συσκευή-θύμα. Αυτό επηρεάζει τόσο τον στόχο όσο και τον διακομιστή CUPS, καταναλώνοντας το εύρος ζώνης και τους πόρους της CPU.
Δείτε ακόμα: Το GorillaBot αναδείχθηκε ο «βασιλιάς» των DDoS επιθέσεων
Για να ξεκινήσει μια επίθεση DDoS, ένας κακόβουλος παράγοντας χρειάζεται να στείλει ένα μόνο πακέτο σε μια εκτεθειμένη στο διαδίκτυο και ευάλωτη υπηρεσία CUPS. Οι ερευνητές της Akamai υπολογίζουν ότι περίπου 58.000 διακομιστές, από τις 198.000 εκτεθειμένες συσκευές, θα μπορούσαν να στρατολογηθούν για επιθέσεις DDoS.
Επιπλέον, εκατοντάδες ευάλωτες συσκευές παρουσίασαν έναν «άπειρο βρόχο» αιτημάτων, με ορισμένους διακομιστές CUPS να στέλνουν επανειλημμένα αιτήματα μετά τη λήψη μιας αρχικής διερεύνησης και ορισμένους διακομιστές να εισέρχονται σε έναν ατελείωτο βρόχο ως απόκριση σε συγκεκριμένα σφάλματα HTTP/404.
Πολλά από αυτά τα ευάλωτα μηχανήματα εκτελούσαν ξεπερασμένες εκδόσεις του CUPS (από το 2007), που είναι εύκολοι στόχοι για εγκληματίες του κυβερνοχώρου που μπορούν να τα εκμεταλλευτούν για να δημιουργήσουν botnet μέσω της αλυσίδας RCE ή να τα χρησιμοποιήσουν για ενίσχυση επιθέσων DDoS.
Αυτή η επίθεση ενίσχυσης DDoS απαιτεί επίσης ελάχιστους πόρους και λίγο χρόνο για να εκτελεστεί. Η Akamai προειδοποιεί ότι ένας χάκερ θα μπορούσε εύκολα να πάρει τον έλεγχο κάθε εκτεθειμένης υπηρεσίας CUPS στο Διαδίκτυο μέσα σε λίγα δευτερόλεπτα.
Συνιστάται στους διαχειριστές να αναπτύξουν ενημερώσεις κώδικα CVE-2024-47176 ή να απενεργοποιήσουν την εκτέλεση της υπηρεσίας περιήγησης σε cups για να αποκλείσουν πιθανές επιθέσεις για να μετριάσουν τον κίνδυνο να προστεθούν οι διακομιστές τους σε ένα botnet ή να χρησιμοποιηθούν σε επιθέσεις DDoS.
Δείτε επίσης: Αυξάνονται οι DDoS επιθέσεις σε κυβερνητικές υπηρεσίες
Όπως αποκάλυψε η Cloudflare αυτή την εβδομάδα, τα αμυντικά της συστήματα DDoS έπρεπε να προστατεύουν τους πελάτες από ένα κύμα υπερ-ογκομετρικών επιθέσεων L3/4 DDoS που έφταναν τα 3,8 terabit ανά δευτερόλεπτο (Tbps), τη μεγαλύτερη τέτοια επίθεση που έχει καταγραφεί ποτέ.
Πηγή: bleepingcomputer
