Общие сведения
Данная уязвимость представляет собой возможность неаутентифицированного удаленного выполнения произвольных комманд в Unix-based системах, BSD, Solaris, ChromeOS. Для эксплуатации могут использоваться следующие пакеты: cups-browsed, cups-filter, libcupsfilters, libpdd, которые позволяют подлючать удаленные принтеры CUPS в качестве локальных устройств. Комбинация из уязвимостей (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) позволяет изменить параметры пользовательского принтера или добавить новый принтер, связанный с IPP-сервером злоумышленника, который способен передать специально оформленное описание принтера в PPD-формате. Обработка данного PPD-файла во время запуска вывода на печать приводит к выполнению кода атакующего после инициации печати со стороны жертвы на подставном принтере.
Рейтинг
В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9.9.
Уязвимые версии и продукты
Уязвимость актуальна для всех систем печати на CUPS, в которых присутствуют уязвимые актуальные версии пакетов:
cups-filter 2.0.1;
libcupsfilters 2.1b1;
libpdd 2.1b1;
cups-browsed 2.0.1.
Рекомендации
Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:
1. Согласно RedHat, на данный момент можно обезопасить себя от данных уязвимостей с помощью двух команд, особенно в среде, где печать не требуется:
Проверить статус работы службы:
“`check_status
sudo systemctl status cups-browsed
“`
Если служба находится в статусе “running”:
“`stop_service
sudo systemctl stop cups-browsed
“`
Для того, чтобы служба не стартовала после перезагрузки системы, следует прописать:
“`no_reboot_start_up
sudo systemctl disable cups-browsed
“`
2. Также существуют патчи для уязвимых служб, предоставленные OpenPrinting:
cups-browsed patch
libppd patch
lubcupsfilters patch
3. Проверить актуальность подписки на модуль Security updates.
4. Добавить в блокирующее правило IDPS сигнатуры “18509 Unix systems RCE via CUPS”.
UserGate