Falhas do Linux permitem execução remota
30 de Setembro de 2024

Um novo conjunto de vulnerabilidades de segurança foi divulgado no OpenPrinting Common Unix Printing System (CUPS) em sistemas Linux, que poderia permitir a execução remota de comandos sob certas condições.

"Um atacante remoto não autenticado pode silenciosamente substituir os URLs IPP de impressoras existentes (ou instalar novas) por um malicioso, resultando na execução arbitrária de comandos (no computador) quando um trabalho de impressão é iniciado (a partir desse computador)", disse o pesquisador de segurança Simone Margaritelli.

O CUPS é um sistema de impressão open source baseado em padrões para Linux e outros sistemas operacionais semelhantes ao Unix, incluindo ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE e SUSE Linux.

A lista de vulnerabilidades é a seguinte:

CVE-2024-47176 - cups-browsed <= 2.0.1 vincula-se ao UDP INADDR_ANY:631 confiando em qualquer pacote de qualquer fonte para acionar um pedido de Get-Printer-Attributes IPP para uma URL controlada pelo atacante.

CVE-2024-47076 - libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 não valida ou higieniza os atributos IPP retornados de um servidor IPP, fornecendo dados controlados pelo atacante para o resto do sistema CUPS.

CVE-2024-47176 .

"> CVE-2024-47175 - libppd <= 2.1b1 ppdCreatePPDFromIPP2 não valida ou higieniza os atributos IPP ao escrevê-los em um arquivo PPD temporário, permitindo a injeção de dados controlados pelo atacante no PPD resultante.

CVE-2024-47177 - cups-filters <= 2.0.1 foomatic-rip permite a execução arbitrária de comandos via parâmetro PPD FoomaticRIPCommandLine.

Uma consequência líquida dessas deficiências é que elas podem ser transformadas em uma cadeia de exploits que permite a um atacante criar um dispositivo de impressão falso e malicioso em um sistema Linux exposto à rede rodando CUPS e acionar a execução remota de código ao enviar um trabalho de impressão.

"A questão surge devido ao manuseio inadequado de anúncios de 'Nova Impressora Disponível' no componente 'cups-browsed', combinado com a validação precária pelo 'cups' das informações fornecidas por um recurso de impressão malicioso", disse a empresa de segurança de rede Ontinue.

A vulnerabilidade decorre da validação inadequada dos dados da rede, permitindo que os atacantes façam com que o sistema vulnerável instale um driver de impressora malicioso e, em seguida, envie um trabalho de impressão para esse driver, desencadeando a execução do código malicioso.

O código malicioso é executado com os privilégios do usuário lp – não do superusuário 'root'. O RHEL, em um aviso, disse que todas as versões do sistema operacional são afetadas pelas quatro falhas, mas observou que elas não são vulneráveis em sua configuração padrão.

Classificou os problemas como Importantes em gravidade, dado que o impacto real é provavelmente baixo.

"Ao encadear esse grupo de vulnerabilidades, um atacante poderia potencialmente alcançar a execução remota de código que, então, poderia levar ao roubo de dados sensíveis e/ou dano a sistemas de produção críticos", disse.

A empresa de cibersegurança Rapid7 apontou que os sistemas afetados são exploráveis, seja pela internet pública ou através de segmentos de rede, apenas se a porta UDP 631 estiver acessível e o serviço vulnerável estiver ouvindo.

A Palo Alto Networks divulgou que nenhum de seus produtos e serviços na nuvem contém os pacotes de software relacionados ao CUPS mencionados e, portanto, não são impactados pelas falhas.

Patches para as vulnerabilidades estão sendo desenvolvidos e devem ser lançados nos próximos dias.

Até lá, é aconselhável desabilitar e remover o serviço cups-browsed se ele não for necessário e bloquear ou restringir o tráfego para a porta UDP 631.

"Parece que as vulnerabilidades RCE não autenticadas embargadas no Linux, que foram apregoadas como o dia do julgamento para os sistemas Linux, podem afetar apenas um subconjunto de sistemas", disse Benjamin Harris, CEO da WatchTowr, em uma declaração compartilhada.

Dado isso, enquanto as vulnerabilidades em termos de impacto técnico são sérias, é significativamente menos provável que máquinas de desktop/workstations rodando CUPS estejam expostas à Internet da mesma maneira ou em números que as típicas edições de servidor do Linux estariam. Satnam Narang, engenheiro de pesquisa sênior da Tenable, disse que estas vulnerabilidades não estão no nível de um Log4Shell ou Heartbleed.

"A realidade é que, em uma variedade de softwares, seja de código aberto ou fechado, existe um número incontável de vulnerabilidades que ainda não foram descobertas e divulgadas", disse Narang.

A pesquisa de segurança é vital para esse processo e podemos e devemos exigir mais dos fornecedores de software.

Para as organizações que estão se concentrando nessas últimas vulnerabilidades, é importante destacar que as falhas mais impactantes e preocupantes são as vulnerabilidades conhecidas que continuam a ser exploradas por grupos de ameaça persistente avançada com vínculos com estados-nação, bem como afiliados de ransomware que estão saqueando corporações por milhões de dólares a cada ano.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...