Uma vulnerabilidade recentemente divulgada no sistema de impressão open-source Common Unix Printing System (CUPS) pode ser explorada por atores de ameaças para lançar ataques de negação de serviço distribuído (DDoS) com um fator de amplificação de 600x.
Conforme encontrado por pesquisadores de segurança da Akamai, uma falha de segurança
CVE-2024-47176
no daemon cups-browsed, que pode ser encadeada com outros três bugs para obter execução de código remoto em sistemas Unix-like por meio de um único pacote UDP, também pode ser aproveitada para amplificar ataques DDoS.
A vulnerabilidade é acionada quando um atacante envia um pacote especialmente criado, enganando um servidor CUPS a tratar um alvo como uma impressora a ser adicionada.
Cada pacote enviado aos servidores CUPS vulneráveis os leva a gerar maiores solicitações IPP/HTTP direcionadas ao dispositivo alvo.
Isso impacta tanto o alvo quanto o servidor CUPS, consumindo sua largura de banda e recursos de CPU.
Para iniciar tal ataque, um ator malicioso só precisa enviar um único pacote para um serviço CUPS exposto e vulnerável online.
Os pesquisadores da Akamai estimam que cerca de 58.000 servidores, de mais de 198.000 dispositivos expostos, poderiam ser recrutados para ataques DDoS.
Além disso, centenas de dispositivos vulneráveis demonstraram um "loop infinito" de solicitações, com alguns servidores CUPS enviando solicitações repetidamente após receber uma sonda inicial e alguns servidores entrando em um loop sem fim em resposta a erros HTTP/404 específicos.
Muitas dessas máquinas vulneráveis estavam executando versões desatualizadas do CUPS (voltando até 2007), que são alvos fáceis para cibercriminosos que podem explorá-las para construir botnets por meio da cadeia RCE ou usá-las para amplificação de DDoS.
"No pior cenário, observamos o que parecia ser um fluxo sem fim de tentativas de conexão e solicitações como resultado de uma única sonda.
Esses fluxos parecem não ter fim, e continuarão até que o daemon seja morto ou reiniciado," disseram os pesquisadores da Akamai.
Muitos desses sistemas que observamos em testes estabeleceram milhares de solicitações, enviando-as para nossa infraestrutura de teste.
Em alguns casos, esse comportamento pareceu continuar indefinidamente.
Esse ataque de amplificação DDoS também requer recursos mínimos e pouco tempo para ser executado.
A Akamai adverte que um ator de ameaça poderia facilmente assumir controle de todos os serviços CUPS expostos na internet em segundos.
Administradores são aconselhados a implantar patches para
CVE-2024-47176
ou desabilitar o serviço cups-browsed de ser executado para bloquear ataques potenciais e mitigar o risco de ter seus servidores adicionados a um botnet ou usados em ataques DDoS.
"DDoS continua sendo um vetor de ataque viável usado para assediar e interromper vítimas em toda a internet, de grandes indústrias e governos a pequenos criadores de conteúdo, lojas online e jogadores," os pesquisadores da Akamai alertaram.
"Embora a análise original tenha se concentrado no RCE, que poderia ter um resultado mais grave, a amplificação em DDoS também é facilmente abusada neste caso."
Como a Cloudflare revelou esta semana, seus sistemas de defesa contra DDoS tiveram que proteger clientes contra uma onda de ataques DDoS L3/4 hiper-volumétricos alcançando 3.8 terabits por segundo (Tbps), o maior ataque desse tipo já registrado.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...