Уязвимости получили идентификаторы CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) и CVE-2024-47177 (cups-filters), и были обнаружены итальянским ИБ-специалистом Симоне Маргарителли (Simone Margaritelli).
CUPS представляет собой популярный сервер печати для Linux-систем, а также поддерживается на устройствах под управлением Unix-подобных операционных систем, таких как FreeBSD, NetBSD, OpenBSD и так далее.
Корень проблемы кроется в одном из компонентов CUPS — демоне cups-browsed, который ищет в локальной сети сетевые или совместно используемые принтеры и позволяет использовать их для печати. Маргарителли обнаружил, что если демон cups-browsed включен (по умолчанию он отключен в большинстве систем), то он прослушивает UDP-порт 631. Кроме того, по умолчанию он разрешает удаленные подключения с любого устройства в сети для создания нового принтера.
Оказалось, что если атакующий может развернуть собственный IPP-сервер и создать вредоносный PostScript Printer Description (PPD) принтера, который можно вручную прорекламировать для cups-browsed, работающего на UDP-порту 631. В результате удаленная машина автоматически установит вредоносный принтер и сделает его доступным для печати. И если пользователь выполнит печатать на этом новом принтере, вредоносная команда будет выполнена на машине жертвы.
Команда, выполняемая во время печати, добавляется при помощи фильтра , который выполняет команды на устройстве для корректного отображения задания печати.
Несмотря на то, что речь идет об удаленном выполнении произвольного кода, для успешной реализации такой атаки злоумышленнику придется преодолеть ряд ограничений. Так, на целевых системах должен быть активен демон cups-browsed, что откроет UDP-порты, но демон обычно не включен по умолчанию. Также злоумышленник должен каким-то образом вынудить пользователя воспользоваться печатью с помощью внезапно появившегося в системе вредоносного принт-сервера.
Как отмечает издание , в ходе тестов удалось обнаружить, что на большинстве Linux-серверов служба действительно не включена по умолчанию, хотя она оказалась активна на одной из проверенных виртуальных машин Ubuntu. Пользователи в соцсетях , что им удалось обнаружить включенный по умолчанию cups-browsed на некоторых Linux-устройствах.
Так как патчи пока находятся в разработке, разработчики Red Hat уже поделились методами, которые следует использовать для снижения рисков. Так, администраторам рекомендуется остановить работу cups-browsed и запретить запуск службы при перезагрузке:
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
Также пользователи Red Hat могут использовать следующую команду, чтобы узнать, запущен ли cups-browsed вообще: sudo systemctl status cups-browsed.
Маргарителли в своей статье советует заблокировать доступ к UDP-порту 631 и рассмотреть возможность блокировки DNS-SD. Дело в том, что если порт 631 недоступен напрямую, злоумышленник может использовать спуфинг zeroconf, mDNS или DNS-SD. Но подробности об этих методах атаки и других проблемах исследователь обещает раскрыть позднее.
