[2]严重 CUPS 漏洞使 Linux 和其他系统面临远程攻击-小百科

小百科,大世界
在网络安全的重大发展中，在 CUPS（通用 Unix 打印系统）中发现了多个关键漏洞，CUPS（通用 Unix 打印系统）是 Linux 系统和其他平台（如 BSD、Oracle Solaris 和 Google Chrome OS）上广泛使用的打印服务器。安全研究员 Simone Margaritelli 发现了这些漏洞，并提供了一份全面的文章，详细说明了它们的潜在影响。 CVE 详情 Margaritelli 在他的博客文章中总结了核心问题： “未经身份验证的远程攻击者可以静默地将现有打印机（或安装新打印机）的 IPP URL 替换为恶意 URL，从而导致在（从该计算机）启动打印作业时（在计算机上）执行任意命令。” 这些漏洞不会影响 Linux 内核本身，但会影响 CUPS 系统的组件。分配的 CVE 包括： CVE-2024-47176漏洞此漏洞存在于 cups-browsed（最高版本 2.0.1）中。cups-browsed 守护程序在端口 631 上侦听 UDP 数据包，并使用 DNS 服务发现自动查找打印机，使其可供用户使用。该漏洞是由于未正确验证打印机发现期间收到的 URL 造成的。攻击者可利用此漏洞诱骗 cups-browsed 请求任意 URL。漏洞：CVE-2024-47076此漏洞存在于 libcupsfilters（最高版本 2.1b1）中，它与库如何处理文件转换以使其可在特定打印机上打印有关。与上一个问题类似，它允许攻击者注入恶意数据，这些数据会传递到其他 CUPS 组件。 CVE-2024-47175漏洞此漏洞会影响 libppd（最高版本 2.1b1）。该库无法验证 IPP 属性，并无意中将它们添加到 PPD（PostScript 打印机描述）文件中，然后由驱动程序和其他组件使用，这可能会导致进一步的漏洞利用。 CVE-2024-47177漏洞在 cups-filters（版本 2.0.1）中，此缺陷允许由无效的 PPD 参数触发任意命令执行。cups-filters 组件执行外部代码（“filters”）来转换文件。通过接受来自未经验证的外部来源的数据，它为攻击者执行任意代码打开了大门。具体来说，“foomatic-rip”过滤器使攻击者能够提供任意命令行。此外，根据 Margaritelli 的说法，还有“其他几个或多或少可以利用的错误”。利用链这些漏洞可以链接在一起以实现远程代码执行。利用过程包括：启用 cups-browsed：必须在目标系统上手动启用或启动 cups-browsed 服务。访问易受攻击的服务器：攻击者通过以下方式获得对易受攻击的服务器的访问权限：不受限制的公共 Internet 访问，或访问本地连接受信任的内部网络。公布恶意 IPP 服务器：攻击者公布虚假 IPP 服务器，从而有效地配置恶意打印机。受害者发起打印作业：用户尝试使用恶意打印机进行打印。执行任意代码：攻击者在打印作业启动期间在受害者的计算机上执行任意代码。值得注意的是，假设 CUPS 端口通过路由器或防火墙打开，则可以通过公共互联网通过将 UDP 数据包发送到端口 631 来利用这种远程代码执行，而无需任何身份验证。LAN 攻击也可以通过欺骗 zeroconf、mDNS 或 DNS-SD 通告来实现。影响和受影响的系统由于 CUPS 在各种平台上的广泛使用，这些漏洞具有广泛的影响。运行 Linux 发行版的系统、某些 BSD 变体、Oracle Solaris 和 Google Chrome OS 都会受到影响。截至目前，没有适用于 Linux 系统的可用修复程序，因此立即缓解至关重要。 Margaritelli 针对 CVE-2024-47176 开发了概念验证（PoC），可在 GitHub 公告中找到。另一个基于 OpenPrinting CUPS 存储库中提交的 PoC 也已在 GitHub 上发布。截至 9 月 26 日，Shodan.io 显示有超过 75,000 台可访问 Internet 的主机正在运行 CUPS。FOFA 搜索引擎发现了超过 270,000 个唯一 IP 地址，其中近 70,000 个专门与 IPP 相关。这表示有大量可通过 Internet 访问的主机，其中大多数主机使用默认端口 631。图片：Shodan.io 图片来源： FOFA 公告和所有错误均已发布： /OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8 /OpenPrinting/libcupsfilters/security/advisories/GHSA-w63j-6g73-wmg5 /OpenPrinting/libppd/security/advisories/GHSA-7xfx-47qg-grp6 /OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47 OpenPrinting 现在也已开始发布修复程序： CVE-2024-47175：/OpenPrinting/libppd/commit/d681747ebf CVE-2024-47076：/OpenPrinting/libcupsfilters/commit/95576ec3 CVE-2024-47176 的临时解决方法：/OpenPrinting/cups-browsed/commit/1debe6b140c 缓解策略鉴于这些漏洞的严重性，建议立即采取行动：禁用 cups-browsed：由于 cups-browsed 是漏洞利用链的核心，因此禁用它可以阻止潜在的攻击。 $ sudo systemctl stop cups-浏览防止 cups-browsed 在重新启动时启动： $ sudo systemctl disable cups-浏览阻止流向 UDP 端口 631 的流量：如果禁用 cups-browsed 不可行，则阻止所有流向 UDP 端口 631 的流量可以减少暴露。 $ sudo iptables -A 输入 -p tcp –dport 631 -j DROP $ sudo iptables -A 输入 -p udp –dport 631 -j DROP 更新 CUPS 组件：请留意补丁，并在修复程序发布后立即更新 CUPS 和相关组件。检测要检查您的系统是否易受攻击，请验证 cups-browsed 的状态： $ sudo systemctl status cups-浏览如果结果包括 “Active： inactive （dead）”，则漏洞利用链已停止，系统不易受到攻击。如果服务处于 “running” 或 “enabled” 状态，并且 BrowseRemoteProtocols 指令在配置文件 /etc/cups/cups-browsed.conf 中包含值 “cups”，则系统容易受到攻击。供应商响应红帽 Red Hat 已确认这些漏洞，并将其严重性影响评为“重要”。虽然 Red Hat Enterprise Linux （RHEL）的所有版本都受到影响，但默认配置并不容易受到攻击。Red Hat 建议管理员禁用 cups-browsed 作为缓解措施。他们正在与上游社区和研究人员合作开发补丁。 Palo Alto 网络在最近的更新中，Palo Alto Networks 确认其所有产品均未受到这些漏洞的影响，这为他们的安全解决方案的用户提供了一些缓解。规范 Canonical 的安全团队已针对所有支持的 Ubuntu LTS 版本发布了多个 CUPS 软件包的更新，包括 cups-browsed、cups-filters、libcupsfilters 和 libppd。强烈建议升级这些软件包并重新启动 CUPS 守护程序。 `sudo apt update && sudo apt upgrade sudo systemctl restart cups.service` 如果无法做到这一点，则可以将受影响的组件作为目标： `sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc sudo systemctl restart cups` 默认情况下，从 Ubuntu 16.04 LTS 及更高版本开始启用无人值守升级功能。这项服务：每 24 小时自动应用一次新的安全更新如果您启用了此功能，上述补丁将在 24 小时内自动应用但是，我们仍然建议使用 systemctl restart cups.service 重新启动 CUPS 守护程序缓解台式电脑：删除 cups-browsed 或禁用网络协议会阻碍网络打印机的发现。打印服务器：禁用网络打印机检测可能是一种临时修复，因为现有打印机仍可访问。但是，在 Ubuntu 上，修改配置文件可能会中断将来的自动更新。除非绝对必要，否则我们建议不要这样做，如果这样做，则应在应用更新后恢复原始配置。以下缓解步骤将删除打印服务器检测新网络打印机和停止注入恶意 PPD 文件的能力：编辑 /etc/cups/cups-browsed.conf 搜索 BrowseRemoteProtocols 配置选项将选项设置为 none （默认值为 “dnssd cups”）使用 systemctl 重新启动 cups-browsed restart cups-browsed 本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/300521 安全客 - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

在网络安全的重大发展中，在 CUPS（通用 Unix 打印系统）中发现了多个关键漏洞，CUPS（通用 Unix 打印系统）是 Linux 系统和其他平台（如 BSD、Oracle Solaris 和 Google Chrome OS）上广泛使用的打印服务器。安全研究员 Simone Margaritelli 发现了这些漏洞，并提供了一份全面的文章，详细说明了它们的潜在影响。

CVE 详情

Margaritelli 在他的博客文章中总结了核心问题：

“未经身份验证的远程攻击者可以静默地将现有打印机（或安装新打印机）的 IPP URL 替换为恶意 URL，从而导致在（从该计算机）启动打印作业时（在计算机上）执行任意命令。”

这些漏洞不会影响 Linux 内核本身，但会影响 CUPS 系统的组件。分配的 CVE 包括：

CVE-2024-47176漏洞此漏洞存在于 cups-browsed（最高版本 2.0.1）中。cups-browsed 守护程序在端口 631 上侦听 UDP 数据包，并使用 DNS 服务发现自动查找打印机，使其可供用户使用。该漏洞是由于未正确验证打印机发现期间收到的 URL 造成的。攻击者可利用此漏洞诱骗 cups-browsed 请求任意 URL。
漏洞：CVE-2024-47076此漏洞存在于 libcupsfilters（最高版本 2.1b1）中，它与库如何处理文件转换以使其可在特定打印机上打印有关。与上一个问题类似，它允许攻击者注入恶意数据，这些数据会传递到其他 CUPS 组件。
CVE-2024-47175漏洞此漏洞会影响 libppd（最高版本 2.1b1）。该库无法验证 IPP 属性，并无意中将它们添加到 PPD（PostScript 打印机描述）文件中，然后由驱动程序和其他组件使用，这可能会导致进一步的漏洞利用。
CVE-2024-47177漏洞在 cups-filters（版本 2.0.1）中，此缺陷允许由无效的 PPD 参数触发任意命令执行。cups-filters 组件执行外部代码（“filters”）来转换文件。通过接受来自未经验证的外部来源的数据，它为攻击者执行任意代码打开了大门。具体来说，“foomatic-rip”过滤器使攻击者能够提供任意命令行。

此外，根据 Margaritelli 的说法，还有“其他几个或多或少可以利用的错误”。

利用链

这些漏洞可以链接在一起以实现远程代码执行。利用过程包括：

启用 cups-browsed：必须在目标系统上手动启用或启动 cups-browsed 服务。
访问易受攻击的服务器：攻击者通过以下方式获得对易受攻击的服务器的访问权限：
- 不受限制的公共 Internet 访问，或
- 访问本地连接受信任的内部网络。
公布恶意 IPP 服务器：攻击者公布虚假 IPP 服务器，从而有效地配置恶意打印机。
受害者发起打印作业：用户尝试使用恶意打印机进行打印。
执行任意代码：攻击者在打印作业启动期间在受害者的计算机上执行任意代码。

值得注意的是，假设 CUPS 端口通过路由器或防火墙打开，则可以通过公共互联网通过将 UDP 数据包发送到端口 631 来利用这种远程代码执行，而无需任何身份验证。LAN 攻击也可以通过欺骗 zeroconf、mDNS 或 DNS-SD 通告来实现。

影响和受影响的系统

由于 CUPS 在各种平台上的广泛使用，这些漏洞具有广泛的影响。运行 Linux 发行版的系统、某些 BSD 变体、Oracle Solaris 和 Google Chrome OS 都会受到影响。截至目前，没有适用于 Linux 系统的可用修复程序，因此立即缓解至关重要。

Margaritelli 针对 CVE-2024-47176 开发了概念验证（PoC），可在 GitHub 公告中找到。另一个基于 OpenPrinting CUPS 存储库中提交的 PoC 也已在 GitHub 上发布。

截至 9 月 26 日，Shodan.io 显示有超过 75,000 台可访问 Internet 的主机正在运行 CUPS。FOFA 搜索引擎发现了超过 270,000 个唯一 IP 地址，其中近 70,000 个专门与 IPP 相关。这表示有大量可通过 Internet 访问的主机，其中大多数主机使用默认端口 631。

图片：Shodan.io

图片来源： FOFA

公告和所有错误均已发布：

/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8
/OpenPrinting/libcupsfilters/security/advisories/GHSA-w63j-6g73-wmg5
/OpenPrinting/libppd/security/advisories/GHSA-7xfx-47qg-grp6
/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47

OpenPrinting 现在也已开始发布修复程序：

CVE-2024-47175：/OpenPrinting/libppd/commit/d681747ebf
CVE-2024-47076：/OpenPrinting/libcupsfilters/commit/95576ec3
CVE-2024-47176 的临时解决方法：/OpenPrinting/cups-browsed/commit/1debe6b140c

缓解策略

鉴于这些漏洞的严重性，建议立即采取行动：

禁用 cups-browsed：由于 cups-browsed 是漏洞利用链的核心，因此禁用它可以阻止潜在的攻击。
$ sudo systemctl stop cups-浏览
防止 cups-browsed 在重新启动时启动：
$ sudo systemctl disable cups-浏览
阻止流向 UDP 端口 631 的流量：如果禁用 cups-browsed 不可行，则阻止所有流向 UDP 端口 631 的流量可以减少暴露。
$ sudo iptables -A 输入 -p tcp –dport 631 -j DROP
$ sudo iptables -A 输入 -p udp –dport 631 -j DROP
更新 CUPS 组件：请留意补丁，并在修复程序发布后立即更新 CUPS 和相关组件。

检测

要检查您的系统是否易受攻击，请验证 cups-browsed 的状态：

$ sudo systemctl status cups-浏览

如果结果包括 “Active： inactive （dead）”，则漏洞利用链已停止，系统不易受到攻击。
如果服务处于 “running” 或 “enabled” 状态，并且 BrowseRemoteProtocols 指令在配置文件 /etc/cups/cups-browsed.conf 中包含值 “cups”，则系统容易受到攻击。

供应商响应

红帽

Red Hat 已确认这些漏洞，并将其严重性影响评为“重要”。虽然 Red Hat Enterprise Linux （RHEL）的所有版本都受到影响，但默认配置并不容易受到攻击。Red Hat 建议管理员禁用 cups-browsed 作为缓解措施。他们正在与上游社区和研究人员合作开发补丁。

Palo Alto 网络

在最近的更新中，Palo Alto Networks 确认其所有产品均未受到这些漏洞的影响，这为他们的安全解决方案的用户提供了一些缓解。

规范

Canonical 的安全团队已针对所有支持的 Ubuntu LTS 版本发布了多个 CUPS 软件包的更新，包括 cups-browsed、cups-filters、libcupsfilters 和 libppd。强烈建议升级这些软件包并重新启动 CUPS 守护程序。

sudo apt update && sudo apt upgrade
sudo systemctl restart cups.service

如果无法做到这一点，则可以将受影响的组件作为目标：

sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc 
sudo systemctl restart cups

默认情况下，从 Ubuntu 16.04 LTS 及更高版本开始启用无人值守升级功能。这项服务：

每 24 小时自动应用一次新的安全更新
如果您启用了此功能，上述补丁将在 24 小时内自动应用
但是，我们仍然建议使用 systemctl restart cups.service 重新启动 CUPS 守护程序

缓解

台式电脑：删除 cups-browsed 或禁用网络协议会阻碍网络打印机的发现。
打印服务器：禁用网络打印机检测可能是一种临时修复，因为现有打印机仍可访问。但是，在 Ubuntu 上，修改配置文件可能会中断将来的自动更新。除非绝对必要，否则我们建议不要这样做，如果这样做，则应在应用更新后恢复原始配置。

以下缓解步骤将删除打印服务器检测新网络打印机和停止注入恶意 PPD 文件的能力：

编辑 /etc/cups/cups-browsed.conf
搜索 BrowseRemoteProtocols 配置选项
将选项设置为 none （默认值为 “dnssd cups”）
使用 systemctl 重新启动 cups-browsed restart cups-browsed

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/300521

安全客 - 有思想的安全新媒体

[来源: 安全客]

[2]严重 CUPS 漏洞使 Linux 和其他系统面临远程攻击 繁體

CVE 详情

利用链

影响和受影响的系统

缓解策略

检测

供应商响应

红帽

规范

[2]严重 CUPS 漏洞使 Linux 和其他系统面临远程攻击 ^繁體