Er is een nieuwe reeks beveiligingskwetsbaarheden onthuld in het OpenPrinting Common Unix Printing System (CUPS) op Linux-systemen waardoor onder bepaalde omstandigheden opdrachten op afstand kunnen worden uitgevoerd.
“Een niet-geauthenticeerde aanvaller op afstand kan de IPP-URL’s van bestaande printers stilletjes vervangen (of nieuwe installeren) door een kwaadaardige, wat resulteert in willekeurige uitvoering van opdrachten (op de computer) wanneer een afdruktaak wordt gestart (vanaf die computer)”, aldus beveiligingsonderzoeker Simone zei Margaritelli.
CUPS is een op standaarden gebaseerd, open-source afdruksysteem voor Linux en andere Unix-achtige besturingssystemen, waaronder ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE en SUSE Linux .
De lijst met kwetsbaarheden is als volgt:
- CVE-2024-47176 – cups-browsed <= 2.0.1 bindt op UDP INADDR_ANY:631 en vertrouwt elk pakket van elke bron om een Get-Printer-Attributes IPP-verzoek naar een door de aanvaller gecontroleerde URL te activeren
- CVE-2024-47076 – libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 valideert of zuivert de IPP-kenmerken die worden geretourneerd door een IPP-server niet, waardoor door de aanvaller gecontroleerde gegevens worden verstrekt aan de rest van het CUPS-systeem
- CVE-2024-47175 – libppd <= 2.1b1 ppdCreatePPDFromIPP2 valideert of zuivert de IPP-kenmerken niet wanneer deze naar een tijdelijk PPD-bestand worden geschreven, waardoor door de aanvaller gecontroleerde gegevens in de resulterende PPD kunnen worden geïnjecteerd
- CVE-2024-47177 – cups-filters <= 2.0.1 foomatic-rip maakt willekeurige opdrachtuitvoering mogelijk via de FoomaticRIPCommandLine PPD-parameter
Een netto gevolg van deze tekortkomingen is dat ze kunnen worden omgezet in een exploit-keten waarmee een aanvaller een kwaadaardig, nep-afdrukapparaat kan maken op een Linux-systeem met CUPS dat op een netwerk is blootgesteld en de uitvoering van externe code kan activeren bij het verzenden van een afdruktaak.
“Het probleem ontstaat als gevolg van de onjuiste afhandeling van aankondigingen van ‘Nieuwe printer beschikbaar’ in de ‘cups-browsed’-component, gecombineerd met een slechte validatie door ‘cups’ van de informatie die wordt verstrekt door een kwaadaardige afdrukbron”, aldus netwerkbeveiligingsbedrijf Ontinue.
“De kwetsbaarheid komt voort uit een ontoereikende validatie van netwerkgegevens, waardoor aanvallers het kwetsbare systeem ertoe kunnen brengen een kwaadaardig printerstuurprogramma te installeren en vervolgens een afdruktaak naar dat stuurprogramma te sturen, waardoor de uitvoering van de kwaadaardige code wordt geactiveerd. De kwaadaardige code wordt uitgevoerd met de rechten van de lp-gebruiker – niet de superuser ‘root.'”
RHEL zei in een advies dat alle versies van het besturingssysteem getroffen zijn door de vier fouten, maar merkte op dat ze niet kwetsbaar zijn in hun standaardconfiguratie. Het bestempelde de problemen als belangrijk in ernst, aangezien de impact in de echte wereld waarschijnlijk laag zal zijn.
“Door deze groep kwetsbaarheden aan elkaar te koppelen, kan een aanvaller mogelijk code op afstand uitvoeren, wat vervolgens kan leiden tot diefstal van gevoelige gegevens en/of schade aan kritieke productiesystemen”, aldus het rapport.
Cyberbeveiligingsbedrijf Rapid7 wees erop dat getroffen systemen alleen kunnen worden misbruikt, hetzij vanaf het openbare internet, hetzij via netwerksegmenten, als UDP-poort 631 toegankelijk is en de kwetsbare dienst luistert.
Palo Alto Networks heeft bekendgemaakt dat geen van haar producten en clouddiensten de bovengenoemde CUPS-gerelateerde softwarepakketten bevat en daarom niet door de gebreken wordt beïnvloed.
Patches voor de kwetsbaarheden worden momenteel ontwikkeld en zullen naar verwachting de komende dagen worden vrijgegeven. Tot die tijd is het raadzaam om de cups-browsed-service uit te schakelen en te verwijderen als dit niet nodig is, en het verkeer naar UDP-poort 631 te blokkeren of te beperken.
“Het lijkt erop dat de onder embargo geplaatste Linux-on-authentieke RCE-kwetsbaarheden die zijn aangeprezen als de dag des oordeels voor Linux-systemen, slechts een subset van systemen kunnen treffen”, zei Benjamin Harris, CEO van WatchTowr, in een verklaring gedeeld met The Hacker News.
“Gegeven dit alles is het, hoewel de kwetsbaarheden in termen van technische impact ernstig zijn, aanzienlijk minder waarschijnlijk dat desktopmachines/werkstations met CUPS op dezelfde manier of in dezelfde aantallen aan het internet worden blootgesteld als typische serveredities van Linux.”
Satnam Narang, senior research engineer bij Tenable, zei dat deze kwetsbaarheden zich niet op het niveau van Log4Shell of Heartbleed bevinden.
“De realiteit is dat er in een verscheidenheid aan software, of het nu open of gesloten bron is, een ontelbaar aantal kwetsbaarheden is die nog ontdekt en onthuld moeten worden”, zei Narang. “Veiligheidsonderzoek is essentieel voor dit proces en we kunnen en moeten betere eisen stellen aan softwareleveranciers.”
“Voor organisaties die zich verdiepen in deze nieuwste kwetsbaarheden, is het belangrijk om te benadrukken dat de fouten die het meest impactvol en zorgwekkend zijn, de bekende kwetsbaarheden zijn die nog steeds worden uitgebuit door geavanceerde aanhoudende dreigingsgroepen die banden hebben met nationale staten, evenals door aan ransomware gelieerde bedrijven. die elk jaar bedrijven voor miljoenen dollars beroven.”