Af Eskil Sørensen, 27/09/24
Der er fundet flere sårbarheder i CUPS - en forkortelse for Common UNIX Printing System - som er det mest udbredte udskrivningssystem på Linux-systemer.
Det skriver Bleeping Computer.
Sårbarhederne er knyttet til forskellige funktioner i CUPS og har id’erne som CVE-2024-47076 (libcupsfiltre), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) og CVE-2024-47177 (cups-filtre).
Sårbarhedernes CVSS-scorer spænder fra 8,6 til 9,1.
CUPS-fejlene gør det muligt at afvikle kode fra ”remote”, om end udnyttelse kræver lidt af en angriber og særlige forhold i øvrigt for at kunne sammenkæde sårbarhederne i flere komponenter af CUPS open source-udskrivningssystemet.
Det fremgår af omtalen, at en af CUPS komponenter er den såkaldte ”deamon”, der søger i det lokale netværk efter annoncerede netværk eller delte printere og gør dem tilgængelige til udskrivning på maskinen. Dette svarer til, forklares det, når man i sin organisation anvender Windows-pc’er eller Macs til at søge på netværket efter eksterne netværksprintere, som der kan udskrives fra
Sagen er den, at hvis deamon’en er aktiveret vil den lytte på UDP-port 631. Den vil også som standard tillade fjernforbindelser fra enhver enhed på netværket at oprette en ny printer. Deamon’en er dog ikke aktiveret på de fleste systemer.
Researcheren bag fundet af sårbarheden, Margaritelli, opdagede i forbindelse med sin research, at han kunne oprette en ondsindet PostScript Printer Description-printer (PPD), der manuelt kunne annonceres til en eksponeret CUP-gennemset tjeneste, der kører på UDP-port 631. Dette får den eksterne maskine til automatisk at installere den ondsindede printer og gøre den tilgængelig til udskrivning. Hvis brugeren på den eksponerede server udskriver til den nye printer, vil den ondsindede kommando i PPD'en blive udført lokalt på computeren.
Selv om konsekvensen potentielt kan være ”remote code execution”, så manes der til ro. Angriberen skal være i stand til at oprette forbindelse til en computer via UDP, som er almindeligt deaktiveret ved netværkstilgang, og tjenesten er normalt ikke tændt som standard. Det får eksperter til at antage, at den impact’en fra sårbarheden ser ud til at være lav.
Der er ingen opdatering tilgængelig endnu, men RedHat har delt afbødende foranstaltninger, der kræver, at administratorer stopper den CUPS-gennemsøgte tjeneste i at køre og forhindrer den i at blive startet ved genstart.