Après beaucoup de battage médiatique et suite à une fuite prématurée d’informations par un tiers, la chercheuse en sécurité Simone Margaritelli a publié des détails sur quatre vulnérabilités de type Zero Day dans le système d’impression Common UNIX (CUPS) qui peuvent être exploitées par des attaquants distants non authentifiés pour exécuter du code sur des systèmes vulnérables. Systèmes de type Linux et Unix.
Les vulnérabilités de CUPS
CUPS est un système d’impression open source qui permet à un ordinateur sur lequel est installé d’agir comme un serveur d’impression. Il est développé par OpenPrinting, une organisation de logiciels libres relevant de la Linux Foundation.
CUPS redirige et gère les travaux d’impression soumis par les ordinateurs clients vers des imprimantes locales ou connectées au réseau via le protocole d’impression Internet (IPP).
Les vulnérabilités découvertes par Margaritelli (alias EvilSocket) affectent plusieurs composants/packages CUPS :
- CVE-2024-47176dans le tasses-parcourues (jusqu’à la version 2.0.1) démon d’assistance, qui permet aux attaquants de soumettre des paquets via le port IPP par défaut (UDP 631) et de le tromper pour demander des URL arbitraires contrôlées par l’attaquant
- CVE-2024-47076dans libcupsfilters (jusqu’à la version 2.1b1), qui permet aux attaquants de transmettre des données malveillantes à d’autres composants CUPS
- CVE-2024-47175dans libppd (jusqu’à la version 2.1b1), qui permet aux attaquants d’injecter des données malveillantes dans le fichier PPD temporaire pour les transmettre aux composants CUPS
- CVE-2024-47177dans tasses-filtres (jusqu’à la version 2.0.1) , qui permet aux attaquants d’exécuter des commandes arbitraires via le Ligne de commande FoomaticRIP Paramètre PPD
En enchaînant certaines de ces failles, « un attaquant distant non authentifié peut remplacer silencieusement les URL IPP des imprimantes existantes (ou en installer de nouvelles) par une URL malveillante, ce qui entraîne l’exécution de commandes arbitraires (sur l’ordinateur) lorsqu’un travail d’impression est démarré (à partir de là). ordinateur) », a expliqué Margaritelli.
Cependant, pour déclencher l’exécution d’une commande, un utilisateur doit lancer un travail d’impression sur l’imprimante malveillante.
“Selon le blog de divulgation du chercheur, les systèmes concernés sont exploitables à partir de l’Internet public ou à travers des segments de réseau, si le port UDP 631 est exposé et que le service vulnérable écoute”, ont noté les chercheurs de Rapid7.
Qui est concerné et que faire ?
CUPS est utilisé par la plupart des distributions Linux et certaines distributions BSD. Certains l’activent par défaut, d’autres non. (Une version de CUPS est également livrée avec macOS et iOS.)
OpenPrinting a publié quelques correctifs et une solution de contournement temporaire pour CVE-2024-47176, et les différentes distributions travaillent sur leur portage.
En attendant les packages CUPS mis à jour, Margaritelli conseille de désactiver et/ou de supprimer le tasses-parcourues service et « si votre système ne peut pas être mis à jour et que, pour une raison quelconque, vous comptez sur ce service, bloquez[ing] tout le trafic vers le port UDP 631 et éventuellement tout le trafic DNS-SD.
Red Hat a expliqué comment ses clients peuvent vérifier si tasses-parcourues est en cours d’exécution sur leur système et comment l’empêcher de s’exécuter et de redémarrer au redémarrage.
Margaritelli dit avoir trouvé des centaines de milliers d’appareils potentiellement vulnérables. Les chercheurs de Tenable ont essayé d’utiliser Shodan et FOFA (moteurs de recherche pour appareils connectés à Internet) et ont trouvé « un nombre important d’hôtes qui semblent effectivement accessibles à Internet, la majorité des résultats utilisant le port par défaut, 631 ».
Jusqu’à présent, aucun rapport n’indique que ces failles ont été exploitées par des attaquants dans la nature, mais les exploits de preuve de concept (PoC), dont celui de Margaritelli, sont publics.
“D’après ce que nous avons rassemblé, ces failles ne sont pas au niveau d’un Log4Shell ou d’un Heartbleed”, a déclaré Satnam Narang, ingénieur de recherche senior de Tenable, à Help Net Security.
« Pour les organisations qui se concentrent sur ces dernières vulnérabilités, il est important de souligner que les failles les plus impactantes et les plus préoccupantes sont les vulnérabilités connues qui continuent d’être exploitées par des groupes de menaces persistantes avancées ayant des liens avec les États-nations, ainsi que par des affiliés de ransomwares. qui volent des millions de dollars aux entreprises chaque année.