Уязвимости CUPS (Common UNIX Printing System) и их последствия для безопасности

Недавно было обнаружено несколько критических уязвимостей в общей системе печати UNIX (CUPS), которая широко используется в Linux и других UNIX-подобных операционных системах. Эти уязвимости увеличивают потенциальные угрозы безопасности системы, включая уязвимости, которые делают возможным удаленное выполнение кода. Ниже приведены четыре основные уязвимости, выявленные в сентябре 2024 года, и информация о них.

Основные слабости:

1. CVE-2024-47076 — libcupsfilters: эта уязвимость связана с проверкой недопустимых входных данных. Воспользовавшись этой уязвимостью, злоумышленник может удаленно выполнить код в системе. Оценка CVSS: 8,6.
2. CVE-2024-47175 — libppd. Эта уязвимость также связана с проблемой проверки недопустимых входных данных и представляет аналогичный риск. Оценка CVSS: 8,6.
3. CVE-2024-47176 — просмотр чашек: уязвимость неограниченной привязки IP-адреса в системе может привести к сетевым атакам. Оценка CVSS: 8,4.
4. CVE-2024-47177 — cups-filters. Это самая опасная уязвимость, позволяющая удаленно выполнять код посредством внедрения команд. Оценка CVSS: 9,1.

Для успешной эксплуатации этих уязвимостей необходимо выполнить несколько особых условий. Во-первых, необходимо включить службу просмотра чашек, но в большинстве систем эта служба по умолчанию отключена. Кроме того, злоумышленник должен заставить систему выглядеть как принтер в локальной сети и заставить пользователя печатать через этот принтер.
{ https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities}
{ https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/}
Эти уязвимости включают принтеры описания принтера PostScript (PPD) в системе и использование фильтра для печати команд. Например, этот процесс можно выполнить перед печатью команды через фильтр foomatic-rip. В результате этого эксплойта злоумышленник может выполнить свой код в системе.

Хотя существует риск удаленного выполнения кода через эти уязвимости, их сложно реализовать. Служба просмотра чашек обычно отключается, а соответствующие принтеры в сети необходимо принудительно заставить печатать. Поэтому вероятность эксплуатации этих уязвимостей в реальном мире считается низкой.
{ https://www.theregister.com/2024/09/26/cups_linux_rce_disclosed/}

Хотя в настоящее время для CUPS нет обновлений, полностью устраняющих уязвимости, существуют некоторые меры безопасности. Например, пользователи могут отключить службу просмотра чашек, используя следующие команды:

sudo systemctl остановить просмотр чашек
sudo systemctl отключить просмотр чашек

Тем временем, чтобы проверить статус услуги в системе:

sudo systemctl статус просмотренных чашек

Если сервис находится в состоянии «неактивен (мертв)», система не уязвима, в противном случае рекомендуется отключить сервис.
{ https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/}
{ https://www.theregister.com/2024/09/26/cups_linux_rce_disclosed/}

Недавние уязвимости в CUPS создают серьезные проблемы с безопасностью, но их эксплуатация сопряжена со многими сложностями. Администрациям рекомендуется уже сейчас предпринять необходимые шаги для устранения этих уязвимостей и защиты своих систем. Системы необходимо будет обновлять сразу после выхода обновлений.