Υπό ορισμένες προϋποθέσεις, οι εισβολείς μπορούν να χρησιμοποιήσουν ένα σύνολο ελαττωμάτων σε πολλαπλά στοιχεία του συστήματος εκτύπωσης ανοιχτού κώδικα CUPS, για απομακρυσμένη εκτέλεση κώδικα σε ευάλωτα μηχανήματα σε Linux.
Δείτε επίσης: Νέα παραλλαγή Linux του Mallox ransomware βασίζεται σε κώδικα Kryptina
Τα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα (RCE) αντιπροσωπεύουν μια κρίσιμη ευπάθεια ασφαλείας που συχνά εκμεταλλεύονται οι εισβολείς για να αποκτήσουν μη εξουσιοδοτημένο έλεγχο σε ένα σύστημα ή ένα δίκτυο. Αυτά τα ελαττώματα επιτρέπουν στους κακόβουλους χρήστες να εκτελούν αυθαίρετες εντολές σε έναν απομακρυσμένο διακομιστή, συνήθως χωρίς την ανάγκη άμεσης φυσικής πρόσβασης. Τα τρωτά σημεία RCE μπορεί να προκύψουν από ακατάλληλη επικύρωση εισόδου, ανασφαλείς πρακτικές κώδικα ή σφάλματα λογισμικού. Είναι ιδιαίτερα επικίνδυνα επειδή μπορούν να οδηγήσουν σε σοβαρές συνέπειες, όπως παραβιάσεις δεδομένων, πειρατεία διακομιστή και διάδοση κακόβουλου λογισμικού.
Γνωστές πλέον ως CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) και CVE-2024-47177 (cups-filters), αυτά τα ελαττώματα ασφαλείας, που ανακαλύφθηκαν από τον Simone Margaritelli, δεν επηρεάζουν τα συστήματα στην προεπιλεγμένη τους διαμόρφωση.
Το CUPS (συντομογραφία του Common UNIX Printing System) είναι το πιο ευρέως χρησιμοποιούμενο σύστημα εκτύπωσης σε συστήματα Linux και υποστηρίζεται επίσης γενικά σε συσκευές που εκτελούν λειτουργικά συστήματα τύπου Unix όπως FreeBSD, NetBSD, OpenBSD και τα παράγωγά τους.
Ο Margaritelli ανακάλυψε ότι εάν είναι ενεργοποιημένο το cups-browsed daemon, το οποίο δεν είναι στα περισσότερα συστήματα, θα ακούει στη θύρα UDP 631. Επίσης, από προεπιλογή, θα επιτρέπει απομακρυσμένες συνδέσεις από οποιαδήποτε συσκευή στο δίκτυο για τη δημιουργία νέου εκτυπωτή.
Ανακάλυψε ότι θα μπορούσε να δημιουργήσει έναν κακόβουλο εκτυπωτή PostScript Printer Description (PPD) που θα μπορούσε να διαφημιστεί με μη αυτόματο τρόπο σε μια υπηρεσία cups-browsed που εκτελείται στη θύρα UDP 631.
Δείτε ακόμα: Το LinkedIn εκπαιδεύει τα AI μοντέλα του με δεδομένα χρηστών
Αυτό αναγκάζει το απομακρυσμένο μηχάνημα να εγκαταστήσει αυτόματα τον κακόβουλο εκτυπωτή και να τον κάνει διαθέσιμο για εκτύπωση. Εάν ο χρήστης σε αυτόν τον εκτεθειμένο διακομιστή εκτυπώσει στον νέο εκτυπωτή, η κακόβουλη εντολή στο PPD θα εκτελεστεί τοπικά στον υπολογιστή.
Η εντολή που πρέπει να εκτελεστεί κατά την εκτύπωση προστίθεται μέσω ενός φίλτρου foomatic-rip, το οποίο εκτελεί εντολές σε μια συσκευή έτσι ώστε μια εργασία εκτύπωσης να αποδίδεται σωστά.
Ενώ οι ενημερώσεις κώδικα βρίσκονται ακόμη σε εξέλιξη, η Red Hat μοιράστηκε μέτρα μετριασμού για τα ελαττώματα, που απαιτούν από τους διαχειριστές να σταματήσουν την εκτέλεση της υπηρεσίας cups-browsed και να εμποδίσουν την εκκίνησή της κατά την επανεκκίνηση, χρησιμοποιώντας τις ακόλουθες εντολές για να σπάσουν την αλυσίδα εκμετάλλευσης:
- sudo systemctl stop cups-browsed
- sudo systemctl απενεργοποίηση cups-browsed
Οι χρήστες του Red Hat μπορούν επίσης να χρησιμοποιήσουν την ακόλουθη εντολή για να μάθουν εάν το cups-browsed εκτελείται στα συστήματά τους:
sudo systemctl status cups-browsed
Δείτε επίσης: Το GitLab κυκλοφορεί επιδιόρθωση για κρίσιμο σφάλμα στο SAML
Εάν το αποτέλεσμα εμφανίσει “Ενεργό: ανενεργό (νεκρό)“, τότε η αλυσίδα εκμετάλλευσης διακόπτεται και το σύστημα δεν είναι ευάλωτο. Εάν το αποτέλεσμα δείχνει “εκτελείται” ή “ενεργοποιημένο” και η οδηγία “BrowseRemoteProtocols” περιέχει την τιμή “cups” στο αρχείο διαμόρφωσης /etc/cups/cups-browsed.conf, τότε το σύστημα είναι ευάλωτο.
Πηγή: bleepingcomputer
