Cyber Sécurité

Les vulnérabilités CUPS affectant Linux et les systèmes Unix peuvent conduire à RCE

Christophe
Christophe

Après beaucoup de battage médiatique et suite à une fuite prématurée d’informations par un tiers, la chercheuse en sécurité Simone Margaritelli a publié des détails sur quatre vulnérabilités de type Zero Day dans le système d’impression Common UNIX (CUPS) qui peuvent être exploitées par des attaquants distants non authentifiés pour exécuter du code sur des systèmes vulnérables. Systèmes de type Linux et Unix.

Les vulnérabilités de CUPS

CUPS est un système d’impression open source qui permet à un ordinateur sur lequel est installé d’agir comme un serveur d’impression. Il est développé par OpenPrinting, une organisation de logiciels libres relevant de la Linux Foundation.

CUPS redirige et gère les travaux d’impression soumis par les ordinateurs clients vers des imprimantes locales ou connectées au réseau via le protocole d’impression Internet (IPP).

Les vulnérabilités découvertes par Margaritelli (alias EvilSocket) affectent plusieurs composants/packages CUPS :

  • CVE-2024-47176dans le tasses-parcourues (jusqu’à la version 2.0.1) démon d’assistance, qui permet aux attaquants de soumettre des paquets via le port IPP par défaut (UDP 631) et de le tromper pour demander des URL arbitraires contrôlées par l’attaquant
  • CVE-2024-47076dans libcupsfilters (jusqu’à la version 2.1b1), qui permet aux attaquants de transmettre des données malveillantes à d’autres composants CUPS
  • CVE-2024-47175dans libppd (jusqu’à la version 2.1b1), qui permet aux attaquants d’injecter des données malveillantes dans le fichier PPD temporaire pour les transmettre aux composants CUPS
  • CVE-2024-47177dans tasses-filtres (jusqu’à la version 2.0.1) , qui permet aux attaquants d’exécuter des commandes arbitraires via le Ligne de commande FoomaticRIP Paramètre PPD

En enchaînant certaines de ces failles, « un attaquant distant non authentifié peut remplacer silencieusement les URL IPP des imprimantes existantes (ou en installer de nouvelles) par une URL malveillante, ce qui entraîne l’exécution de commandes arbitraires (sur l’ordinateur) lorsqu’un travail d’impression est démarré (à partir de là). ordinateur) », a expliqué Margaritelli.

A LIRE AUSSI :  Les cyber-espions chinois ont utilisé Claude AI pour automatiser 90 % de leur campagne d'attaque, affirme Anthropic

Cependant, pour déclencher l’exécution d’une commande, un utilisateur doit lancer un travail d’impression sur l’imprimante malveillante.

“Selon le blog de divulgation du chercheur, les systèmes concernés sont exploitables à partir de l’Internet public ou à travers des segments de réseau, si le port UDP 631 est exposé et que le service vulnérable écoute”, ont noté les chercheurs de Rapid7.

Qui est concerné et que faire ?

CUPS est utilisé par la plupart des distributions Linux et certaines distributions BSD. Certains l’activent par défaut, d’autres non. (Une version de CUPS est également livrée avec macOS et iOS.)

OpenPrinting a publié quelques correctifs et une solution de contournement temporaire pour CVE-2024-47176, et les différentes distributions travaillent sur leur portage.

En attendant les packages CUPS mis à jour, Margaritelli conseille de désactiver et/ou de supprimer le tasses-parcourues service et « si votre système ne peut pas être mis à jour et que, pour une raison quelconque, vous comptez sur ce service, bloquez[ing] tout le trafic vers le port UDP 631 et éventuellement tout le trafic DNS-SD.

Red Hat a expliqué comment ses clients peuvent vérifier si tasses-parcourues est en cours d’exécution sur leur système et comment l’empêcher de s’exécuter et de redémarrer au redémarrage.

Margaritelli dit avoir trouvé des centaines de milliers d’appareils potentiellement vulnérables. Les chercheurs de Tenable ont essayé d’utiliser Shodan et FOFA (moteurs de recherche pour appareils connectés à Internet) et ont trouvé « un nombre important d’hôtes qui semblent effectivement accessibles à Internet, la majorité des résultats utilisant le port par défaut, 631 ».

A LIRE AUSSI :  Kinsing Hacker Group exploite davantage de failles pour étendre le botnet à des fins de cryptojacking

Jusqu’à présent, aucun rapport n’indique que ces failles ont été exploitées par des attaquants dans la nature, mais les exploits de preuve de concept (PoC), dont celui de Margaritelli, sont publics.

“D’après ce que nous avons rassemblé, ces failles ne sont pas au niveau d’un Log4Shell ou d’un Heartbleed”, a déclaré Satnam Narang, ingénieur de recherche senior de Tenable, à Help Net Security.

« Pour les organisations qui se concentrent sur ces dernières vulnérabilités, il est important de souligner que les failles les plus impactantes et les plus préoccupantes sont les vulnérabilités connues qui continuent d’être exploitées par des groupes de menaces persistantes avancées ayant des liens avec les États-nations, ainsi que par des affiliés de ransomwares. qui volent des millions de dollars aux entreprises chaque année.


Partager cet Article
Article Précédent 6 jeux à jouer avant octobre
Article Suivant Combien les entreprises sont-elles prêtes à dépenser pour ramener les travailleurs au bureau ? – Monde informatique

Derniers Articles

Date de sortie du Steam Frame, prix, spécifications et tout ce que nous savons sur le casque VR de nouvelle génération de Valve
Les Meilleurs RPG / MMORPG et Jeux en Ligne
Amazon liquide les écouteurs Bose à 50 % de réduction, désormais moins chers que les modèles sans nom de milieu de gamme
Les Meilleurs RPG / MMORPG et Jeux en Ligne
La nouvelle émission de télévision politique de West Wing Showrunner débarque sur Netflix
Séries et Cinéma
Microsoft corrige une faille de mise à jour de Windows 10
Réseaux

Vous pourriez aussi aimer