SK-CERT Bezpečnostné varovanie V20240927-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
9.1
Identifikátor
OpenPrinting CUPS – kritická bezpečnostná zraniteľnosť
Popis
Bezpečnostní výskumníci zverejnili informácie zraniteľnostiach v tlačiarenskom systéme OpenPrinting CUPS pre UNIX, ktorý obsahuje viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-47177 spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených PPD súborov vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby.
Zreťazenie bezpečnostných zraniteľností s identifikátormi CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 a CVE-2024-47177 útočníkovi umožní vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému v zariadení používateľa.
Zneužitie zraniteľnosti s identifikátorom CVE-2024-47176 vyžaduje interakciu používateľa.
Na uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód.
Na predmetné zraniteľnosti v súčasnosti neexistujú bezpečnostné záplaty.

Pre zneužitie predmetných zraniteľností je nevyhnutné splniť nasledujúce podmienky:
– služba cups-browsed musí byť povolená
– útočník musí mať prístup k zraniteľnému IPP serveru prostredníctvom internetu
– útočník prostredníctvom špeciálne vytvoreného IPP servera podvrhol tlačiareň

Následný pokus pokus používateľa o tlač prostredníctvom podvrhnutej tlačiarne spustí vykonanie škodlivého kódu v zariadení používateľa.

Dátum prvého zverejnenia varovania
27.9.2024
CVE
CVE-2024-47176, CVE-2024-47177 , CVE-2024-47175, CVE-2024-47076
IOC
Zasiahnuté systémy
CVE-2024-47176:
OpenPrinting CUPS komponent cups-browsed vo verzii staršej ako 2.0.1 (vrátane)
CVE-2024-47076:
OpenPrinting CUPS komponent libcupsfilters vo verzii staršej ako 2.1b1 (vrátane)
CVE-2024-47175 :
OpenPrinting CUPS komponent ibppd vo verzii staršej ako 2.1b1 (vrátane)
CVE-2024-47177:
OpenPrinting CUPS komponent cups-filters vo verzii staršej ako 2.0.1 (vrátane)

OpenPrinting CUPS so zraniteľnými komponentami sa vyskytujú v systémoch založených na UNIXe, ako sú:
GNU/Linux distribúcie
FreeBSD, NetBSD a OpenBSD
Oracle Solaris
Zoznam zasiahnutých systémov nemusí byť konečný.

Následky
Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Odporúčame uistiť sa, či Vaše aplikácie a služby nevyužívajú OpenPrinting CUPS. V prípade, že áno, odporúčame do vydania aktualizácií zraniteľnosť mitigovať podľa odporúčaní bezpečnostných výskumníkov a po vydaní záplat bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Pre dočasnú mitigáciu bezpečnostní výskumníci odporúčajú vypnúť službu cups-browsed (ak jej používanie nie je nevyhnutné), ktorá v predvolenom nastavení nie je povolená, zablokovať komunikáciu na port UDP 631 (prípadne všetku komunikáciu využívajúcu DNS-SD) a aktualizovať balík CUPS na prevádzkovaných systémoch.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities
https://www.tenable.com/cve/CVE-2024-47177
https://www.tenable.com/cve/CVE-2024-47176
https://www.tenable.com/cve/CVE-2024-47175
https://www.tenable.com/cve/CVE-2024-47076
https://cert.europa.eu/publications/security-advisories/2024-103/
https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/

« Späť na zoznam