Sintesi
Rilevate 4 vulnerabilità di sicurezza in OpenPrinting Common Unix Printing System (CUPS), sistema di gestione della stampa open source integrato nei sistemi operativi Unix-like. Tali vulnerabilità, qualora sfruttate congiuntamente, potrebbero consentire l’esecuzione di comandi arbitrari da remoto sui sistemi interessati.
Note: un Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità risulta disponibile in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (74,48/100)1.
Tipologia
- Remote Code Execution
- Spoofing
Descrizione e potenziali impatti
CUPS è una utility composta da diversi moduli che gestiscono la coda di stampa, la conversione dei dati e l’invio dei dati alla stampante; utilizza l’Internet Printing Protocol (IPP) per gestire le proprie operazioni ed include un’interfaccia web per la gestione e la configurazione delle stampanti.
Un ricercatore di sicurezza ha recentemente rilasciato un report dettagliato in cui sono descritte 4 vulnerabilità che potrebbero portare all’esecuzione di codice arbitrario da remoto sui sistemi Unix-Like, qualora il demone cups-browsed sia attivo ed in ascolto sulla porta UDP 631, impostazione tipicamente non abilitata di default. Tale demone consente, per impostazione predefinita, connessioni remote da qualsiasi dispositivo presente sulla rete locale al fine di agevolare l’eventuale creazione di una nuova stampante condivisa.
Nel dettaglio, è stata evidenziata la possibilità di utilizzare richieste opportunamente predisposte tramite il protocollo Internet Printing Protocol (IPP) verso il server CUPS al fine di creare un driver per stampanti PPD (PostScript Printer Description) contenente codice eseguibile. Tale operazione potrebbe permettere l’installazione di una stampante malevola in grado di eseguire comandi sul dispositivo vulnerabile.
Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.
Prodotti e versioni affette
- cups-browsed, versione 2.0.1 e precedenti
- libcupsfilters, versione 2.1b1 e precedenti
- libppd, versione 2.1b1 e precedenti
- cups-filters, versione 2.0.1 e precedenti
Azioni di mitigazione
In attesa del rilascio di apposite patch di sicurezza per la propria distribuzione Unix-like, si raccomanda di valutare l’implementazione delle seguenti mitigazioni:
1. Verificare se il demone è in esecuzione:
sudo systemctl status cups-browsed
2. Disabilitare il demone vulnerabile:
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
3. Aggiornare i package CUPS, ove possibile
- In alternativa bloccare tutto il traffico verso la porta UDP 631 e possibilmente tutto il traffico DNS-SD.
Identificatori univoci vulnerabilità
Riferimenti
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I
https://ubuntu.com/security/notices/USN-7042-1
https://security-tracker.debian.org/tracker/CVE-2024-47176
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
