[TLP:CLEAR] Zraniteľnosti v CUPS umožňujú vzdialené spúšťanie príkazov
CUPS a súvisiace komponenty (cups-browsed, libcupsfilters, libppd, cups-filters) od spoločnosti OpenPrinting postihujú 4 zraniteľnosti, ktoré sú kriticky závažné, ak sú zneužité reťazovo [1]. Hoci sa postihnuté komponenty vyskytujú na väčšine populárnych UNIXových systémoch [1], v predvolenej konfigurácií sú povolené iba v niektorých - potvrdené je Ubuntu vo verzii 24.04, ale dá sa očakávať, že sa to týka aj iných verzií a taktiež nie je možné vylúčiť rovnaký prípad u ďalších UNIXových systémov. Prvou podmienkou zneužitia zraniteľností je služba "cups-browsed" počúvajúca na porte 631 postihnutého zariadenia pomocou protokolu UDP, čo je možné overiť pomocou príkazu "lsof -i :631" [1]. Oficiálna oprava od vývojárov zatiaľ nie je dostupná, ako dočasnú opravu je možné použiť zakázanie/odstránenie služby "cups-browsed", alebo v prípade, že systém túto službu potrebuje, zablokovať akúkoľvek prichádzajúcu UDP komunikáciu na port 631 [1]. V prípade opráv operačných systémov by mala postačiť oprava zraniteľnosti CVE-2024-47176 pre zabránenie vykonávania príkazov v OS vzdialeným útočníkom, každopádne aj zvyšné zraniteľnosti predstavujú bezpečnostné riziko, preto silne odporúčame aktualizovať jednotlivé komponenty na verziu, kde budú opravené všetky zraniteľnosti, hneď ako to bude možné. Jednotlivé distribúcie a ich opravené verzie: Ubuntu [5][6][7][8]: noble: cups - 2.4.7-1.2ubuntu7.3, libppd - 2:2.0.0-0ubuntu4.1, libcupsfilters - 2.0.0-0ubuntu7.1, cups-browsed - 2.0.0-0ubuntu10.1 jammy: cups - 2.4.1op1-1ubuntu4.11, cups-filters - 1.28.15-0ubuntu1.3, focal: cups - 2.3.1-9ubunt:u1.9, cups-filters - 1.27.4-1ubuntu0.3 Debian [9][10][11][11]: bullseye (security): cups - 2.3.3op2-3+deb11u9, cups-filters - 1.28.7-1+deb11u3 bookworm (security): cups - 2.4.2-3+deb12u8, cups-filters - 1.28.17-3+deb12u1
Neautentizovanému vzdialenému útočníkovi je reťazovým zneužitím 4 zraniteľností umožnené vykonávať ľubovolné príkazy v systéme postihnutého zariadenia s právami procesu CUPS [1][2]. Detaily k jednotlivým zraniteľnostiam je možné nájsť na [1]. K zraniteľnostiam boli zverejnené PoC [3][4]. Zneužitie zraniteľností vyžaduje interakciu obete, ktorá musí na server útočníka vydávajúceho sa za tlačiareň odoslať tlačovú úlohu [1][2].
Zraniteľnosť sa nachádza v produktoch:
- cups-browsed vo verziách <=2.0.1
- libcupsfilters vo verziách <=2.1b1
- libppd vo verziách <=2.1b1
- cups-filters vo verziách <=2.0.1
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-47176 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-47076 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-47175 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-47177 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 9. 2024.
Odkazy
- [1] https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
- [2] https://nvd.nist.gov/vuln/detail/CVE-2024-47176
- [3] https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8
- [4] https://github.com/RickdeJager/cupshax/
- [5] https://ubuntu.com/security/CVE-2024-47176
- [6] https://ubuntu.com/security/CVE-2024-47076
- [7] https://ubuntu.com/security/CVE-2024-47175
- [8] https://ubuntu.com/security/CVE-2024-47177
- [9] https://security-tracker.debian.org/tracker/CVE-2024-47176
- [10] https://security-tracker.debian.org/tracker/CVE-2024-47076
- [11] https://security-tracker.debian.org/tracker/CVE-2024-47175