Haavoittuvuus23/2024CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177 (Ulkoinen linkki)
CUPS-tulostusjärjestelmässä on useita haavoittuvuuksia, jotka voivat johtaa mielivaltaisen koodin suorittamiseen etänä ilman tunnistautumista. Organisaatioiden on suositeltavaa poistaa cups-browsed-palvelu käytöstä ja seurata tulevia päivityksiä.
Haavoittuvuuden kohde
Haavoittuvuudet koskevat CUPS (Common UNIX Printing System) -tulostusjärjestelmää ja siihen liittyviä komponentteja, joita käytetään yleisesti Linux- ja Unix-pohjaisissa käyttöjärjestelmissä. Haavoittuvat komponentit ja versiot:
- cups-browsed (versiot ≤ 2.0.1)
- libcupsfilters (versiot ≤ 2.1b1)
- libppd (versiot ≤ 2.1b1)
- cups-filters (versiot ≤ 2.0.1)
Mistä on kysymys?
Haavoittuvuudet voivat johtaa mielivaltaisen koodin suorittamiseen etänä tiettyjen ehtojen täyttyessä. Hyökkäysketju hyödyntää useita CUPS-järjestelmän komponenttien haavoittuvuuksia, kuten libcupsfilters-, libppd-, cups-browsed- ja cups-filters-kirjastoja.
Onnistunut hyväksikäyttö vaatii että kohdejärjestelmässä on käytössä cups-browsed -palvelu, mikä ei ole oletuksena päällä useimmissa järjestelmissä. Jotta hyväksikäyttö on mahdollista internetistä, tulee UDP-portin 631 olla auki internetiin. Lähiverkossa hyökkääjä voi väärentää zeroconf-, mDNS-, DNS-SD mainostuksia.
Hyökkääjän on myös luotava haitallinen PostScript Printer Description (PPD) -tulostin, joka mainostetaan kohdejärjestelmän cups-browsed-palvelulle. Kohdejärjestelmän käyttäjän tulee tulostaa haitalliselle tulostimelle, jotta haitallinen komento suoritetaan paikallisesti.
Haavoittuvuuden havainnollistavia esimerkkikoodeja on julkaistu, mutta laajempaa hyväksikäyttöä ei ole vielä havaittu.
Mitä voin tehdä?
Organisaatiot voivat estää haavoittuvuuksien hyväksikäytön pysäyttämällä cups-browsed-palvelun seuraavilla komennoilla sudo systemctl stop cups-browsed ja sudo systemctl disable cups-browsed.
Palvelun tila voidaan tarkistaa komennolla sudo systemctl status cups-browsed.
Jos palvelun tila on "Active: inactive (dead)", järjestelmä ei ole haavoittuva. Jos komennon tulosteessa näkyy "running" tai "enabled" ja konfiguraatiotiedostossa (/etc/cups/cups-browsed.conf) oleva määritys "BrowseRemoteProtocols" sisältää arvon "cups", on järjestelmä haavoittuva.
Organisaatioiden on suositeltavaa asentaa korjaavat päivitykset kun ne tulevat saataville