Una serie de cuatro vulnerabilidades en el sistema de impresión común Unix, o Cups, que conducen a la ejecución remota de código (RCE), parecen contener un desagradable problema, según investigadores de Akamai, que a principios de esta semana publicaron evidencia de que también podrían habilitar un devastador ataque distribuido de denegación de servicio (DDoS). CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 y CVE-2024-47177 afectan colectivamente a más de 76.000 dispositivos y posiblemente a muchos más. Fueron descubiertos y divulgados a finales de septiembre por la investigadora Simone Margaritelli, también conocida como evilsocket. Permiten que Cups, que existe para permitir que una computadora común actúe como servidor de impresión, sea explotado como vector para RCE si un atacante puede agregar con éxito una impresora «fantasma» con una URL maliciosa del Protocolo de impresión de Internet (IPP) a un sitio vulnerable. máquina e iniciar un trabajo de impresión en ella. Pero según los investigadores de Akamai Larry Cashdollar, Kyle Lefton y Chad Seaman, al revisar la divulgación de Margaritelli, detectaron la posibilidad de que Cups fuera explotado para lanzar ataques DDoS que, aunque menos severos que RCE, aún causan interrupciones significativas y son fácilmente abusados ​​con fines maliciosos. . El trío de investigadores afirma que lo más preocupante en este caso es que se necesitarían recursos limitados para lanzar un ataque DDoS a través de Cups: la tarea de cooptar cada servicio vulnerable de Cups expuesto podría llevar apenas unos segundos, y si un actor de amenazas tiene acceso a una plataforma hiperescaladora moderna, podría costar menos de un centavo de dólar estadounidense. Además, para comenzar el ataque, el sistema atacante sólo necesita enviar un único paquete a un servicio de Copas vulnerable. «El problema surge cuando un atacante envía un paquete diseñado especificando la dirección de un objetivo como una impresora para agregar», escribieron en un artículo técnico explicando el riesgo de DDoS. “Por cada paquete enviado, el servidor de Cups vulnerable generará una solicitud IPP/HTTP más grande y parcialmente controlada por el atacante dirigida al objetivo especificado. Como resultado, no sólo el objetivo se ve afectado, sino que el anfitrión del servidor de Cups también se convierte en víctima, ya que el ataque consume el ancho de banda de su red y los recursos de la CPU”. Creen que en realidad puede haber más de 198.000 dispositivos disponibles a los que se puede acceder en Internet y ser vulnerables a este vector de ataque, y alrededor de 58.000 de ellos podrían usarse para ataques DDoS. Agregaron que, dado que muchos de estos dispositivos ejecutan versiones anteriores de Cups (algunas se remontan a la versión 1.3, que cayó en 2007), los actores de amenazas tienen una oportunidad de oro para aprovechar el hardware obsoleto para amplificar sus ataques DDoS. Suponiendo que los más de 58.000 hosts identificados se utilizaran en la misma campaña, podrían causar una avalancha de hasta 6 GB de tráfico malicioso, lo que de ninguna manera es un ataque DDoS particularmente grande según los estándares modernos, pero aún así podría ser problemático. Quizás lo más preocupante es que las pruebas del equipo de Akamai también encontraron que algunos de los servidores de Cups activos respondieron repetidamente después de recibir la solicitud inicial, y algunos parecieron hacerlo infinitamente después de recibir respuestas HTTP/404. Dijeron que esto demostraba que la posible amplificación del problema era bastante grande y capaz de causar problemas importantes. “A veces, atacantes oportunistas poco cualificados encuentran nuevos vectores de ataque DDoS, y a menudo los abusan rápidamente de ellos. Esta vulnerabilidad en CUPS y la gran cantidad de dispositivos que podrían ser objeto de abuso de esta manera nos llevan a creer que es probable que los defensores se encuentren con ataques basados ​​en CUPS”, dijeron. «Hasta que los esfuerzos de mensajería y limpieza obtengan impulso para reducir la cantidad de dispositivos que son vulnerables y expuestos en Internet, sospechamos que este vector sufrirá abusos en la naturaleza». Mayur Upadhyaya, CEO de APIContext, comentó: “La vulnerabilidad CUPS es similar a descubrir un amplificador oculto en un sistema de altavoces aparentemente normal. Un pequeño golpe puede convertir un susurro en un rugido ensordecedor, abrumando el entorno. De manera similar, esta falla magnifica incluso las señales pequeñas, lo que permite a los atacantes desatar un torrente de tráfico, ahogando los sistemas objetivo”.