Vulnerabilidades comunes del sistema de impresión UNIX | DKCERT
Se han encontrado varias vulnerabilidades en CUPS -abreviatura de Common UNIX Printing System-, que es el sistema de impresión más utilizado en sistemas Linux.
Eso es lo que escribe Bleeping Computer.
Las vulnerabilidades están vinculadas a diferentes características de CUP y tienen los identificadores CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) y CVE-2024-47177 (cups). -filtros).
Las puntuaciones CVSS de las vulnerabilidades oscilan entre 8,6 y 9,1.
Los errores de CUPS permiten ejecutar código de forma «remota», aunque su explotación requiere un poco de un atacante y condiciones especiales en general para poder vincular las vulnerabilidades en varios componentes del sistema de impresión de código abierto CUPS.
De la descripción se desprende que uno de los componentes de CUPS es el llamado «daemon», que busca en la red local redes anunciadas o impresoras compartidas y las pone a disposición para imprimir en la máquina. Esto es similar a cuando su organización utiliza PC con Windows o Mac para buscar en la red impresoras de red externas desde las cuales imprimir.
La cuestión es que, si el demonio está habilitado, escuchará en el puerto UDP 631. También permitirá de forma predeterminada conexiones remotas desde cualquier dispositivo de la red para crear una nueva impresora. Sin embargo, el demonio no está activado en la mayoría de los sistemas.
El investigador detrás del descubrimiento de la vulnerabilidad, Margaritelli, descubrió durante su investigación que podía crear una impresora PostScript Printer Description (PPD) maliciosa que podría anunciarse manualmente en un servicio explorado CUP expuesto que se ejecuta en el puerto UDP 631. Esto provoca que la máquina remota para instalar automáticamente la impresora maliciosa y dejarla disponible para imprimir. Si el usuario del servidor expuesto imprime en la nueva impresora, el comando malicioso en el PPD se ejecutará localmente en la computadora.
Aunque la consecuencia podría ser la «ejecución remota de código», se recomienda calma. El atacante debe poder conectarse a una computadora a través de UDP, que comúnmente está deshabilitado en el acceso a la red, y el servicio generalmente no está activado de manera predeterminada. Esto lleva a los expertos a suponer que el impacto de la vulnerabilidad parece ser bajo.
Aún no hay ninguna actualización disponible, pero RedHat ha compartido mitigaciones que requieren que los administradores detengan la ejecución del servicio de escaneo de CUP y eviten que se inicie al reiniciar.
Campo de golf: