Phát hiện các lỗ hổng nghiêm trọng trong CUPS Linux có thể cho phép thực thi lệnh từ xa

Một loạt lỗ hổng bảo mật mới có thể cho phép thực thi lệnh (command) từ xa trong một số điều kiện nhất định đã được phát hiện trong hệ thống OpenPrinting Common Unix Printing System (CUPS).

Nhà nghiên cứu bảo mật Simone Margaritelli cho biết: "Kẻ tấn công từ xa có thể lén lút thay thế các IPP urls của máy in hiện có (hoặc cài đặt máy in mới) bằng một url độc hại, dẫn đến việc thực thi lệnh tùy ý (trên máy tính) khi bắt đầu thực hiện in (từ máy tính đó) “

CUPS là hệ thống in mã nguồn mở, dựa trên tiêu chuẩn dành cho Linux và các hệ điều hành Unix khác, bao gồm ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE và SUSE Linux.

Danh sách các lỗ hổng bao gồm: 

- CVE-2024-47176 - cups-browsed <= 2.0.1 liên kết trên UDP INADDR_ANY:631 tin tưởng bất kỳ gói tin nào từ nguồn bất kỳ để kích hoạt yêu cầu IPP Get-Printer-Attributes tới URL do kẻ tấn công kiểm soát

- CVE-2024-47076 - libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 không kiểm tra, sàng lọc các thuộc tính IPP được trả về từ máy chủ IPP, cung cấp dữ liệu do kẻ tấn công kiểm soát cho phần còn lại của hệ thống CUPS

- CVE-2024-47175 - libppd <= 2.1b1 ppdCreatePPDFromIPP2 không kiểm tra, sàng lọc các thuộc tính IPP khi ghi chúng vào tệp PPD tạm thời, cho phép đưa dữ liệu do kẻ tấn công kiểm soát vào PPD kết quả

- CVE-2024-47177 - cups-filters <= 2.0.1 foomatic-rip cho phép thực thi lệnh tùy ý thông qua tham số PPD FoomaticRIPCommandLine

Các lỗ hổng này có thể kết hợp để tạo thành chuỗi khai thác cho phép kẻ tấn công tạo ra một thiết bị in giả mạo độc hại trên hệ thống Linux chạy CUPS thông qua mạng và kích hoạt thực thi mã từ xa khi gửi lệnh in.

Công ty bảo mật mạng Ontinue cho biết: "Lỗ hổng này xuất phát từ việc xác thực dữ liệu không đầy đủ, cho phép kẻ tấn công cài đặt driver máy in độc hại vào hệ thống dễ bị tấn công, sau đó gửi lệnh in đến driver đó để kích hoạt thực thi các lệnh độc hại với quyền người dùng lp – không phải 'root'".

"Bằng cách kết hợp các lỗ hổng này lại với nhau, kẻ tấn công có thể thực thi mã từ xa, từ đó dẫn đến đánh cắp dữ liệu nhạy cảm hoặc gây thiệt hại cho các hệ thống sản xuất quan trọng", Redhat cho biết.

Công ty an ninh mạng Rapid7 chỉ ra rằng các hệ thống bị ảnh hưởng có thể bị khai thác từ internet công cộng hoặc trên các phân đoạn mạng, chỉ khi cổng UDP 631 có thể truy cập được và dịch vụ dễ bị tấn công đang mở.

Benjamin Harris, CEO của WatchTowr, cho biết rằng: "Có vẻ như lỗ hổng RCE không cần xác thực của Linux chỉ ảnh hưởng đến một nhóm nhỏ các hệ thống". "Mặc dù các lỗ hổng về mặt tác động kỹ thuật là nghiêm trọng, nhưng khả năng các máy tính để bàn/máy trạm chạy CUPS có kết nối Internet thường rất thấp".

Akamai cho biết đã phát hiện khoảng 75.000 thiết bị chạy CUPS trên toàn thế giới tiếp xúc với internet. Năm khu vực có nhiều trường hợp bị ảnh hưởng nhất là Hàn Quốc (21.974), Mỹ (11.413), Hồng Kông (4.772), Đức (4.723) và Trung Quốc (4.570). Công ty lưu ý rằng "khoảng 5,4% máy Linux được kết nối với Internet và nhận lưu lượng truy cập từ các nguồn bên ngoài".

Palo Alto Networks tiết lộ rằng không có sản phẩm và dịch vụ cloud nào của họ chứa các phần mềm liên quan đến CUPS đã đề cập ở trên, do đó không bị ảnh hưởng bởi các lỗ hổng này.

Bản vá cho các lỗ hổng hiện đang được phát triển và dự kiến ​​sẽ được phát hành trong những ngày tới. Cho đến lúc đó, bạn nên tắt và xóa dịch vụ cups-browsed nếu không cần thiết và chặn hoặc hạn chế lưu lượng truy cập đến cổng UDP 631.

Nguồn: thehackernews.com.