La explotación de operaciones de seguridad requiere que la víctima imprima en una impresora fraudulenta Prajeet Nair (@prajeetspeaks) •27 de septiembre de 2024 Imagen: Shutterstock Los atacantes pueden explotar una serie de vulnerabilidades en una utilidad de sistema de impresión de código abierto para ejecutar de forma remota código arbitrario en ciertas máquinas. Ver también: Desarrollo de la fuerza laboral de ciberseguridad: una asociación público-privada que mejora la ciberseguridad y al mismo tiempo brinda experiencia práctica en SOC a los estudiantes. Un conjunto de fallas de seguridad en el sistema de impresión OpenPrinting Common Unix en sistemas Linux podría permitir la ejecución remota de comandos en condiciones específicas, encontró seguridad la investigadora Simone Margaritelli. CUPS es una solución de impresión ampliamente utilizada en sistemas Linux, compatible con dispositivos que ejecutan sistemas operativos similares a Unix, incluidos FreeBSD, NetBSD, OpenBSD y sus derivados. Las principales distribuciones de Linux reaccionaron el viernes lanzando parches. «Un atacante remoto no autenticado puede reemplazar silenciosamente las URL IPP de las impresoras existentes por una maliciosa, lo que resulta en la ejecución de un comando arbitrario cuando se inicia un trabajo de impresión (desde esa computadora)», dijo Margaritelli. El análisis de RedHat encontró que una explotación exitosa requiere que la víctima intente imprimir desde un dispositivo malicioso. El desarrollador de software de código abierto también dijo que todas las versiones de Red Hat Enterprise Linux se ven afectadas por las fallas “pero no son vulnerables en sus configuraciones predeterminadas. Un componente clave de CUPS es el demonio navegado por cups, que escanea la red local en busca de impresoras compartidas o anunciadas y las hace accesibles. Margaritelli descubrió que cuando el demonio de navegación por tazas está activado, escucha en el puerto UDP 631, lo que permite que dispositivos remotos en la red se conecten y creen nuevas impresoras. Margaritelli creó un archivo de descripción de impresora PostScript malicioso y lo anunció manualmente en un servicio de navegación de tazas expuesto en ejecución. Eso provocó que la máquina remota instalara automáticamente la impresora fraudulenta y la dejara disponible para su uso. Si un usuario de la máquina vulnerable imprime en esta impresora recién instalada, el código malicioso incrustado en el archivo PPD se ejecutará localmente en su computadora. Las vulnerabilidades se rastrean como CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177. CVE 2024-47176: el servicio de navegación de tazas, responsable de la detección de impresoras, escucha en el puerto UDP 631 y confía en los paquetes entrantes de cualquier fuente, sin la autenticación adecuada. Esto crea un punto de entrada para que los atacantes inyecten solicitudes maliciosas del Protocolo de impresión de Internet. CVE-2024-47076: La biblioteca libcupsfilters, específicamente la función cfGetPrinterAttributes5, no valida ni desinfecta adecuadamente los atributos IPP recibidos de un servidor IPP. Esta falta de validación permite a un atacante controlar los datos que pasan al sistema, lo que facilita su explotación. CVE-2024-47175: La función ppdCreatePPDFromIPP2 de la biblioteca libppd no desinfecta los atributos IPP al escribir en un archivo temporal de descripción de impresora PostScript, lo que permite a un atacante inyectar datos arbitrarios. CVE-2024-47177: El filtro foomatic-rip en cups-filters permite a un atacante ejecutar comandos arbitrarios manipulando el parámetro PPD FoomaticRIPCommandLine. Satnam Narang, ingeniero senior de investigación de Tenable, dijo que se revisarán las puntuaciones CVSS asignadas para las fallas del sistema de impresión CUPS, incluida la que recibió una puntuación CVSS de 9,9. “Por lo que hemos recopilado, estos fallos no están al nivel de Log4Shell o Heartbleed. La realidad es que en una variedad de software, ya sea de código abierto o cerrado, existe una infinidad de vulnerabilidades que aún no se han descubierto y divulgado. La investigación de seguridad es vital para este proceso y podemos y debemos exigir más a los proveedores de software”, afirmó Narang. Se recomienda a los usuarios que deshabiliten o eliminen el servicio de navegación de cups y actualicen el paquete CUPS a la última versión si es posible. También se recomienda bloquear el puerto UDP 631 o utilizar reglas de firewall adicionales para evitar el tráfico de red no solicitado. URL de la publicación original: https://www.databreachtoday.com/linux-distros-patching-printer-hijacking-flaw-a-26404