最后更新于2024年9月27日(星期五)18:43:26 GMT
2024年9月26日,星期四,一位安全研究员 公开披露 影响OpenPrinting不同组件的几个漏洞 杯 (通用Unix打印系统). 杯是一种流行的基于ip的开源打印系统,主要(但不仅限于)用于Linux和类unix操作系统. 根据研究者的说法, 成功的漏洞利用链允许远程未经身份验证的攻击者用恶意url替换现有打印机的IPP url, 导致从目标设备启动打印作业时执行任意命令.
披露的漏洞包括:
- cve - 2024 - 47176: 影响
cups-browsed<= 2.0.1. 该服务绑定在UDP *:631上,信任来自任何来源的任何数据包触发aGet-Printer-Attributes向攻击者控制的URL发送IPP请求. - cve - 2024 - 47076: 影响
libcupsfilters<= 2.1b1.cfGetPrinterAttributes5没有验证或清理从IPP服务器返回的IPP属性, 向杯系统的其余部分提供攻击者控制的数据. - cve - 2024 - 47175: 影响
libppd<= 2.1b1. 的ppdCreatePPDFromIPP2在将IPP属性写入临时PPD文件时,API不会验证或清理IPP属性, 允许在生成的PPD中注入攻击者控制的数据. - cve - 2024 - 47177: 影响
cups-filters<= 2.0.1. 的foomatic-rip过滤器允许任意命令执行FoomaticRIPComm和Line产后抑郁症的参数.
根据研究人员的博客披露, 受影响的系统可以从公共互联网上利用, 或者跨网段, 如果UDP 631端口暴露,并且有漏洞的服务正在监听. 杯在大多数流行的Linux发行版上默认是启用的, 但是可利用性可能因实现而异. 截至美国东部时间9月26日星期四下午6点,红帽已经 一个顾问 可用的注意事项是他们考虑这组漏洞的 重要的 严重性而不是 至关重要的.
公共漏洞可用. 大约有75个,披露时,有000个杯守护进程暴露在公共互联网上, 但值得注意的是, 例如,互联网曝光搜索查询可能并不完全准确, 如果它们正在检查TCP 631 (i.e., cupsd 基于http的web管理服务),而不是UDP 631(受影响) cups-browsed 服务).
缓解指导
我们预计在未来几天内,受影响的供应商和发行版将提供补丁和补救指导. 虽然这些漏洞在披露时还不知道会在野外被利用, 在问题公开发布之前,技术细节就被泄露了, 这可能意味着攻击者和研究人员有机会开发漏洞代码. 作为预防措施,我们建议尽快应用补丁和/或缓解措施, 即使在某些实现中可利用性更有限.
其他缓解指导:
- 禁用并删除
cups-browsed如果不需要,请提供服务 - 阻止或限制流量到UDP端口631(如下所述), 这并不能阻止对局域网的利用。
Rapid7自己的测试证实,阻止UDP端口631将不能有效地防止对局域网的利用, 由于存在次级通道(e.g.(mDNS),可以促进利用.
Rapid7客户
InsightVM和expose客户可以通过在基于unix的系统上查找受影响的杯包的身份验证检查来评估他们对这些cve的暴露. 美国东部时间9月26日星期四晚上7点40分,这些检查在第二份内容发布中发布. 随着供应商发布修复程序和更多信息,我们希望在未来几天更新额外的检查.
通过Rapid7扩展的检测规则库,insighttidr和Managed 检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表,并将对与利用最近杯漏洞相关的行为发出警报:
- 可疑进程- IPP打印进程启动Shell
