Критическая ошибка Linux, которая может привести к концу света: Это CUPS. Может привести к удаленному захвату устройств

Важные новости

Этот критическая ошибка Linux, которая может привести к концу света: это CUPS. Может привести к удаленному захвату устройств

Окончательное обновление После нескольких дней ожидания то, что было объявлено одной или несколькими критическими уязвимостями удаленного выполнения кода без аутентификации во всех системах Linux, сегодня было наконец раскрыто.

Короче говоря, если вы используете систему печати Unix CUPS с включенным cups-browsed, вы можете быть уязвимы для атак, которые могут привести к захвату вашего компьютера через сеть или интернет. Для атак жертве необходимо запустить задание печати. ​​Не бойтесь.

Ошибки были обнаружены и в частном порядке сообщены разработчиком программного обеспечения Симоне Маргарителли, который теперь открыто раскрыл уязвимости безопасности здесь в деталях. Говорят, что эта статья является первой частью из двух или, может быть, трех, поэтому ожидайте больше информации в какой-то момент.

Он выступил публично сегодня в 20:00 UTC после того, как, по-видимому, был разочарован обработкой его отчетов об уязвимостях разработчиками CUPS. Пока никаких исправлений не доступно. Ранее ожидалось, что публичное раскрытие информации произойдет не позднее 30 сентября.

По словам Маргарителли, сейчас вам нужно знать следующее:

  • Отключите и/или удалите службу cups-browsed.
  • Обновите установку CUPS, чтобы получить обновления безопасности, если или когда они будут доступны.
  • Заблокируйте доступ к порту UDP 631 и рассмотрите возможность блокировки DNS-SD.
  • Это затрагивает «большинство» дистрибутивов Linux, «некоторые» BSD, возможно, Google ChromeOS, Oracle Solaris и потенциально другие, поскольку CUPS поставляется в комплекте с различными дистрибутивами для обеспечения функциональности печати.
  • Чтобы использовать это через Интернет или локальную сеть, злоумышленнику необходимо получить доступ к вашей службе CUPS через UDP-порт 631. Надеюсь, ни у кого из вас нет такого доступа к публичному Интернету. Злоумышленнику также придется ждать, пока вы начнете задание печати.
  • Если порт 631 недоступен напрямую, злоумышленник может подделать рекламу zeroconf, mDNS или DNS-SD, чтобы получить доступ к уязвимости. Подробности этого пути будут раскрыты позже, как мы обещаем.

Если в вашей системе нет cups-browsed, все в порядке. Если вам не нужен CUPS, рассмотрите возможность удалить его со своего компьютера, просто чтобы обезопасить себя. Если вы никогда ничего не печатаете, вы, вероятно, тоже в порядке.

Как можно взломать уязвимую систему? «Удаленный неаутентифицированный злоумышленник может незаметно заменить URL-адреса IPP существующих принтеров (или установить новые) на вредоносный, что приведет к произвольному выполнению команды (на компьютере) при запуске задания печати (с этого компьютера)», — говорит Маргарителли.

Две библиотеки, одна CUPS

Если рассматривать это более подробно, вот четыре ошибки, которые Маргарителли публично задокументировал на данный момент:

  1. CVE-2024-47176в cups-browsed до версии 2.0.1. Он прослушивает порт UDP 631, доверяет «любому пакету из любого источника» и будет использовать эти данные для отправки запроса IPP на контролируемый злоумышленником URL.
  2. CVE-2024-47076 в libcupsfilters до версии 2.1b1. Это не проверяет атрибуты, возвращаемые этим запросом IPP, что позволяет злоумышленнику передавать вредоносные данные в систему CUPS жертвы.
  3. CVE-2024-47175 в libppd. Это также не проверяет эти атрибуты IPP при записи их во временный файл PPD.
  4. CVE-2024-47177в cups-filters до версии 2.0.1. Это выполнит произвольные команды из данных в файле PPD.

Объединив их вместе, вы можете отправить пакет на порт UDP 631 на целевой уязвимой машине, заставить этот компьютер связаться с сервером, который вы контролируете, заставить этот сервер передать целевой нагрузке команды в виде данных, чтобы затем записать во временный файл PPD, а затем, когда пользователь запускает задание печати, он запускает выполнение этих команд из этого файла.

Здорово, и мы видим, как это может, просто может, испортить день работнику офиса или лаборатории, но в целом это не ошеломляет. Маргарителли подтвердил, что требуется взаимодействие с пользователем со стороны жертвы (ей нужно запустить задание печати) и намекнул, что переполнение буфера может позволить запустить это задание удаленно, но пока это не было раскрыто или разработано как эксплойт. Маргарителли также рассказал о других ошибках, которые пока не были раскрыты.

Возьмите всю вышеприведенную информацию и решите для себя, насколько вы подвержены риску и какие шаги предпринять. Американские стервятники просто удалили cups-browsed из наших Linux-боксов. Маргарителли считает, что в общедоступном Интернете есть несколько сотен тысяч устройств, подверженных риску.

Ранее он жаловался в ветке социальных сетей, что его отчеты об ошибках не воспринимаются достаточно серьезно, и решил полностью раскрыться, почувствовав, что наталкивается на сопротивление со стороны коллег-разработчиков. Он предупредил, что раскроет все о дыре в Linux с рейтингом CVSS 9,9 из 10, оцененной вендором.

Теперь, похоже, инженер из Red Hat от IBM посчитал, что по крайней мере одна из ошибок была 9.9, что делает ее ошибкой Судного дня, хотя, учитывая необходимое взаимодействие с пользователем, мы считаем, что цепочку эксплойтов следует считать менее чем высококритической. В своей сегодняшней статье Маргарителли сказал, что, по его мнению, 9.9 тоже слишком высока.

«С точки зрения воздействия я бы не классифицировал ее как 9.9, но опять же, откуда я знаю?» — написал он.

До сегодняшнего раскрытия информации генеральный директор и основатель watchTowr Бенджамин Харрис высказал мнение, что это «не тот переломный момент, каким его представляют».

После того, как мы все узнали больше о проблемах CUPS, он настоятельно призвал организации «немедленно определить свою уязвимость, прежде чем они будут вынуждены реагировать на неизбежный взлом/инцидент кибербезопасности», но также отметил, что «уязвимость затрагивает менее чем однозначный процент всех развернутых систем Linux, подключенных к Интернету».

«Я по-прежнему твердо верю, что быстрая реакция на возникающие угрозы, подобные этой, является одной из самых мощных возможностей, которые должны использовать и вооружать команды безопасности для предотвращения нарушений безопасности», — сказал он The Register.

«Теперь, когда информация об этих уязвимостях стала общедоступной, «плохие парни» наверняка воспользуются этой уязвимостью, чтобы получить доступ к уязвимым системам».

Мой CUPS over runneth

Помимо раскрытия этих уязвимостей, статья Маргарителли также выявила недостатки в процессе сообщения об ошибках, сказал The Register технический директор Sonatype Брайан Фокс. Примечательно, что кто-то смог слить личные раскрытия Маргарителли в CERT VINCE, предназначенные для поставщиков, на форум по киберпреступности, где они были опубликованы во вторник.

«Подробности этого отчета были преданы огласке, что привело к поспешному раскрытию вместо упорядоченного пути и процесса развертывания», — добавил Фокс, отметив, что Маргарителли ранее поднял тревогу об утечке.

«Мы должны стремиться сделать раскрытия уязвимостей больше похожими на предупреждения об ураганах — предоставляя своевременную и полезную информацию — и меньше на неожиданные торнадо, которые не оставляют времени на подготовку», — сказал он. «Хотя эти раскрытия иногда могут показаться преувеличенными, гораздо лучше быть предупрежденным и готовым, чем быть застигнутым врасплох непредвиденным «торнадо» нарушений безопасности». ®

Примечание редактора: После раскрытия ошибок в 2000 UTC, 26 сентября, эта статья была переписана с этой версии на эту на 2050 UTC в свете новой информации. Затем она была дополнительно пересмотрена в 0035 UTC, 27 сентября, до этой последней версии.

Новости сегодня

Последние новости