Un chercheur en sécurité a révélé quatre vulnérabilités du système d’impression UNIX commun qui pourraient permettre l’exécution de code à distance sur les systèmes Linux, mais aucun correctif n’est actuellement disponible.
Dans un article de blog publié jeudi, la chercheuse en sécurité Simone Margaritelli a révélé quatre vulnérabilités dans CUPS, un programme d’impression open source pour les systèmes Linux et Unix. Les vulnérabilités sont suivies comme CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 et CVE-2024-47177. Ils peuvent être chaînés pour permettre l’exécution de commandes arbitraires sur l’ordinateur. Margaritelli a averti que les failles affectent tous les systèmes Linux, Oracle Solaris, la plupart des systèmes UNIX et éventuellement Google Chromium et Chrome OS.
Au cours de ses recherches, Margaritelli a découvert que la fonction « navigation par tasses » est chargée de découvrir de nouvelles imprimantes et de les ajouter automatiquement au système. À partir de là, il a examiné le protocole d’impression Internet (IPP), qui permet aux utilisateurs d’envoyer et de gérer les travaux d’impression sur le réseau, et a découvert qu’il pouvait ajouter une fausse imprimante à la liste des imprimantes locales sans qu’aucune notification ne soit envoyée à l’utilisateur.
“Un attaquant distant non authentifié peut remplacer silencieusement les URL IPP des imprimantes existantes (ou en installer de nouvelles) par une URL malveillante, ce qui entraîne l’exécution de commandes arbitraires (sur l’ordinateur) lorsqu’un travail d’impression est démarré (à partir de cet ordinateur)”, a écrit Margaritelli dans l’article du blog.
Margaritelli a publié un exploit de preuve de concept. Les distributeurs Linux et les fournisseurs de logiciels concernés n’ont pas encore publié de correctifs.
Il semble que la divulgation publique était initialement prévue pour le 6 octobre, bien que Margaritelli ait affirmé sur X, anciennement Twitter, que ses recherches avaient été divulguées au public, ce qui l’avait obligé à les divulguer plus tôt. Il a recommandé de désactiver et de supprimer le service de navigation par tasses et de mettre à jour le package CUPS sur tous les systèmes.
La gravité des quatre vulnérabilités n’est pas claire. Margaritelli a déclaré dans un article sur X que “Canonical, RedHat et d’autres ont confirmé la gravité, un 9,9”, bien qu’il ait précisé plus tard qu’il n’était pas familier avec la façon dont les scores CVSS sont déterminés. Cependant, Red Hat n’a pas attribué de notes dans son avis public pour les failles CUPS.
Tenable a développé les vulnérabilités dans un article de blog séparé jeudi, dans lequel il a évalué une faille, CVE-2024-47177, comme critique avec un score CVSS de 9,1, tandis que les trois autres ont été classées comme étant de gravité élevée. Alors que certains membres de la communauté de la sécurité informatique ont exprimé leurs inquiétudes quant à la gravité potentielle des vulnérabilités, Tenable a déclaré qu’elles pourraient être déplacées.
Les failles enchaînées ont été comparées à Log4Shell, une vulnérabilité critique d’exécution de code à distance découverte dans le progiciel open source Log4j en 2021. La faille a reçu un score CVSS de 10 et a été largement ciblée par les acteurs de la menace étatique, ainsi que par les groupes de ransomwares.
“Bien qu’une grande attention ait été accordée à ces vulnérabilités avant leur divulgation, sur la base de ce qui a été divulgué le 26 septembre, ces failles ne sont pas au niveau de quelque chose comme Log4Shell ou Heartbleed. Nous encourageons les organisations à ne pas paniquer à propos de ces vulnérabilités. car la plupart des attaquants continuent d’exploiter les vulnérabilités connues des actifs Internet”, a écrit Tenable dans le billet de blog.
Tenable a partagé une recherche Shodan qui a trouvé jeudi environ 75 000 hôtes accessibles sur Internet exécutant CUPS. Cependant, le fournisseur de gestion des vulnérabilités a déclaré que les failles n’étaient pas exploitées en tant que zero-day.
Tenable a également conseillé aux utilisateurs de désactiver et de supprimer les cups parcourues sur les systèmes vulnérables, ainsi que de bloquer le trafic vers le port UDP 631, qui permet de communiquer avec CUPS.
Rapid7 a également abordé les vulnérabilités dans un article de blog jeudi. Le fournisseur de sécurité a déclaré qu’il s’attend à ce que des correctifs soient publiés “au cours des prochains jours”. Cependant, il a également averti qu’une activité malveillante pourrait être imminente.
“Bien que les vulnérabilités ne soient pas connues pour être exploitées à l’état sauvage au moment de leur divulgation, des détails techniques ont été divulgués avant que les problèmes ne soient rendus publics, ce qui pourrait signifier que les attaquants et les chercheurs ont eu l’opportunité de développer du code d’exploitation”, a écrit Rapid7 dans le blog. .
Comme Tenable, Rapid7 a exhorté les utilisateurs à lire un avis Red Hat qui fournit plus de détails sur les mesures d’atténuation.
Arielle Waldman est rédactrice pour TechTarget Editorial couvrant la sécurité des entreprises.