Scanner automatizado detecta falha no CUPS
9 de Outubro de 2024

Foi lançado um scanner automatizado para auxiliar profissionais de segurança a verificar ambientes em busca de dispositivos vulneráveis ao defeito do Common Unix Printing System (CUPS) RCE, identificado como CVE-2024-47176 .

Esse defeito permite que atacantes executem código remotamente de forma arbitrária se certas condições forem atendidas, e foi divulgado no mês passado por quem o descobriu, Simone Margaritelli.

Embora seu aspecto RCE pareça limitado em implementações reais devido aos pré-requisitos para exploração, a Akamai posteriormente demonstrou que o CVE-2024-47176 também abriu a possibilidade para uma amplificação de 600x em ataques de negação de serviço distribuído (DDoS).

O scanner foi criado pelo pesquisador de cibersegurança Marcus Hutchins (conhecido como "MalwareTech"), que desenvolveu o scanner para ajudar administradores de sistema a verificar suas redes e identificar rapidamente dispositivos executando serviços CUPS-Browsed vulneráveis.

O script em Python (cups_scanner.py) configura um servidor HTTP na máquina que realiza a varredura, que escuta solicitações HTTP (callbacks) vindas de dispositivos na rede.

O CVE-2024-47176 surge do CUPS-browsed (um daemon parte do CUPS) vinculando sua porta de controle (porta UDP 631) para INADDR_ANY, expondo a porta para a rede e permitindo que qualquer sistema envie comandos para ela.

O scanner envia um pacote UDP personalizado para o endereço de broadcast da rede na porta 631, enviado a cada endereço IP no intervalo especificado, indicando às instâncias do CUPS para enviar uma solicitação de volta.

Se um dispositivo executando uma instância vulnerável de cups-browsed receber o pacote UDP, ele interpretará a solicitação e enviará um callback HTTP para o servidor, marcando assim apenas os que respondem como vulneráveis.

Os resultados são escritos em dois logs: um (cups.log) contendo os endereços IP e a versão do CUPS dos dispositivos que responderam e outro (requests.log) contendo as solicitações HTTP brutos recebidas pelo servidor de callback, que podem ser usados para análises mais profundas.

Ao usar este scanner, administradores de sistema podem planejar e executar ações de correção ou reconfiguração direcionadas, minimizando a exposição do CVE-2024-47176 online.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...