Центр мониторинга и реагирования предупреждает о критической уязвимости удаленного выполнения произвольных команд (RCE) в Unix-системах через сервис CUPS

Общие сведения

Данная уязвимость представляет собой возможность неаутентифицированного удаленного выполнения произвольных комманд в Unix-based системах, BSD, Solaris, ChromeOS. Для эксплуатации могут использоваться следующие пакеты: cups-browsed, cups-filter, libcupsfilters, libpdd, которые позволяют подлючать удаленные принтеры CUPS в качестве локальных устройств. Комбинация из уязвимостей (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) позволяет изменить параметры пользовательского принтера или добавить новый принтер, связанный с IPP-сервером злоумышленника, который способен передать специально оформленное описание принтера в PPD-формате. Обработка данного PPD-файла во время запуска вывода на печать приводит к выполнению кода атакующего после инициации печати со стороны жертвы на подставном принтере.

Рейтинг

В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9.9.

Уязвимые версии и продукты

Уязвимость актуальна для всех систем печати на CUPS, в которых присутствуют уязвимые актуальные версии пакетов:

cups-filter 2.0.1;
libcupsfilters 2.1b1;
libpdd 2.1b1;
cups-browsed 2.0.1.

Рекомендации

Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:

1. Согласно RedHat, на данный момент можно обезопасить себя от данных уязвимостей с помощью двух команд, особенно в среде, где печать не требуется:

Проверить статус работы службы:

“`check_status
sudo systemctl status cups-browsed
“`

Если служба находится в статусе “running”:

“`stop_service
sudo  systemctl stop cups-browsed
“`

Для того, чтобы служба не стартовала после перезагрузки системы, следует прописать:

“`no_reboot_start_up
sudo systemctl disable cups-browsed
“`

2. Также существуют патчи для уязвимых служб, предоставленные OpenPrinting:

cups-browsed patch
libppd patch
lubcupsfilters patch

3. Проверить актуальность подписки на модуль Security updates.
4. Добавить в блокирующее правило IDPS сигнатуры “18509 Unix systems RCE via CUPS”.

​UserGate

Read More

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Корзина для покупок
Прокрутить вверх