27 de septiembre de 2024Ravie LakshmananLinux / Vulnerabilidad Se ha revelado un nuevo conjunto de vulnerabilidades de seguridad en OpenPrinting Common Unix Printing System (CUPS) en sistemas Linux que podrían permitir la ejecución remota de comandos bajo ciertas condiciones. «Un atacante remoto no autenticado puede reemplazar silenciosamente las URL IPP de las impresoras existentes (o instalar otras nuevas) por una maliciosa, lo que resulta en la ejecución de comandos arbitrarios (en la computadora) cuando se inicia un trabajo de impresión (desde esa computadora)», dijo la investigadora de seguridad Simone. dijo Margaritelli. CUPS es un sistema de impresión de código abierto basado en estándares para Linux y otros sistemas operativos similares a Unix, incluidos ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE y SUSE Linux. . La lista de vulnerabilidades es la siguiente: CVE-2024-47176 – cups-browsed <= 2.0.1 se vincula en UDP INADDR_ANY:631 que confía en cualquier paquete de cualquier fuente para activar una solicitud IPP Get-Printer-Attributes a una URL controlada por el atacante CVE-2024-47076 - libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 no valida ni desinfecta los atributos IPP devueltos desde un servidor IPP, proporcionando datos controlados por el atacante al resto del sistema CUPS CVE-2024-47175 - libppd <= 2.1b1 ppdCreatePPDFromIPP2 no valida ni desinfecta los atributos IPP cuando los escribe en un archivo PPD temporal, lo que permite la inyección de datos controlados por el atacante en el PPD resultante CVE-2024-47177 - cups-filters <= 2.0.1 foomatic-rip permite la ejecución de comandos arbitrarios a través del parámetro PPD FoomaticRIPCommandLine. Una consecuencia neta de estas deficiencias es que podrían transformarse en una cadena de exploits que permite a un atacante crear un dispositivo de impresión falso y malicioso en un sistema Linux expuesto a la red que ejecuta CUPS y desencadenar la ejecución remota de código al enviar un trabajo de impresión. "El problema surge debido al manejo inadecuado de los anuncios 'Nueva impresora disponible' en el componente 'cups-browsed', combinado con una mala validación por parte de 'cups' de la información proporcionada por un recurso de impresión malicioso", dijo la empresa de seguridad de redes Ontinue. "La vulnerabilidad surge de una validación inadecuada de los datos de la red, lo que permite a los atacantes lograr que el sistema vulnerable instale un controlador de impresora malicioso y luego envíe un trabajo de impresión a ese controlador, lo que desencadena la ejecución del código malicioso. El código malicioso se ejecuta con los privilegios de el usuario lp, no el superusuario 'root'". RHEL, en un aviso, dijo que todas las versiones del sistema operativo se ven afectadas por las cuatro fallas, pero señaló que no son vulnerables en su configuración predeterminada. Etiquetó los problemas como Importantes en cuanto a gravedad, dado que es probable que el impacto en el mundo real sea bajo. "Al encadenar este grupo de vulnerabilidades, un atacante podría potencialmente lograr la ejecución remota de código, lo que luego podría conducir al robo de datos confidenciales y/o daños a sistemas de producción críticos", dijo. La empresa de ciberseguridad Rapid7 señaló que los sistemas afectados son explotables, ya sea desde la Internet pública o a través de segmentos de red, solo si se puede acceder al puerto UDP 631 y el servicio vulnerable está escuchando. Palo Alto Networks ha revelado que ninguno de sus productos y servicios en la nube contiene los paquetes de software relacionados con CUPS antes mencionados y, por lo tanto, no se ven afectados por las fallas. Actualmente se están desarrollando parches para las vulnerabilidades y se espera que se publiquen en los próximos días. Hasta entonces, es aconsejable deshabilitar y eliminar el servicio de navegación de copas si no es necesario, y bloquear o restringir el tráfico al puerto UDP 631. "Parece que las vulnerabilidades embargadas de Linux unauth RCE que han sido promocionadas como el fin del mundo para los sistemas Linux, pueden sólo afecta a un subconjunto de sistemas", dijo Benjamin Harris, director ejecutivo de WatchTowr, en un comunicado compartido con The Hacker News. "Teniendo en cuenta esto, si bien las vulnerabilidades en términos de impacto técnico son graves, es significativamente menos probable que las máquinas de escritorio/estaciones de trabajo que ejecutan CUPS estén expuestas a Internet de la misma manera o en números que las típicas ediciones de servidor de Linux". Satnam Narang, ingeniero senior de investigación de Tenable, dijo que estas vulnerabilidades no están al nivel de Log4Shell o Heartbleed. "La realidad es que en una variedad de software, ya sea de código abierto o cerrado, hay un sinnúmero de vulnerabilidades que aún no se han descubierto y divulgado", dijo Narang. "La investigación de seguridad es vital para este proceso y podemos y debemos exigir más a los proveedores de software". "Para las organizaciones que se están concentrando en estas últimas vulnerabilidades, es importante resaltar que las fallas que son más impactantes y preocupantes son las vulnerabilidades conocidas que continúan siendo explotadas por grupos avanzados de amenazas persistentes con vínculos con estados nacionales, así como afiliados de ransomware. que están robando a las corporaciones millones de dólares cada año". ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.