Foi lançado um scanner automatizado para auxiliar profissionais de segurança a verificar ambientes em busca de dispositivos vulneráveis ao defeito do Common Unix Printing System (CUPS) RCE, identificado como
CVE-2024-47176
.
Esse defeito permite que atacantes executem código remotamente de forma arbitrária se certas condições forem atendidas, e foi divulgado no mês passado por quem o descobriu, Simone Margaritelli.
Embora seu aspecto RCE pareça limitado em implementações reais devido aos pré-requisitos para exploração, a Akamai posteriormente demonstrou que o
CVE-2024-47176
também abriu a possibilidade para uma amplificação de 600x em ataques de negação de serviço distribuído (DDoS).
O scanner foi criado pelo pesquisador de cibersegurança Marcus Hutchins (conhecido como "MalwareTech"), que desenvolveu o scanner para ajudar administradores de sistema a verificar suas redes e identificar rapidamente dispositivos executando serviços CUPS-Browsed vulneráveis.
O script em Python (cups_scanner.py) configura um servidor HTTP na máquina que realiza a varredura, que escuta solicitações HTTP (callbacks) vindas de dispositivos na rede.
O
CVE-2024-47176
surge do CUPS-browsed (um daemon parte do CUPS) vinculando sua porta de controle (porta UDP 631) para INADDR_ANY, expondo a porta para a rede e permitindo que qualquer sistema envie comandos para ela.
O scanner envia um pacote UDP personalizado para o endereço de broadcast da rede na porta 631, enviado a cada endereço IP no intervalo especificado, indicando às instâncias do CUPS para enviar uma solicitação de volta.
Se um dispositivo executando uma instância vulnerável de cups-browsed receber o pacote UDP, ele interpretará a solicitação e enviará um callback HTTP para o servidor, marcando assim apenas os que respondem como vulneráveis.
Os resultados são escritos em dois logs: um (cups.log) contendo os endereços IP e a versão do CUPS dos dispositivos que responderam e outro (requests.log) contendo as solicitações HTTP brutos recebidas pelo servidor de callback, que podem ser usados para análises mais profundas.
Ao usar este scanner, administradores de sistema podem planejar e executar ações de correção ou reconfiguração direcionadas, minimizando a exposição do
CVE-2024-47176
online.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...