Se ha descubierto un nuevo conjunto de vulnerabilidades de ejecución remota de código (RCE) que afectan al sistema de impresión Common Unix (CUPS) en entornos Linux. Estas fallas, calificadas con una puntuación CVSS crítica de 9,9, permiten a los atacantes ejecutar código arbitrario en sistemas sin requerir autenticación. Las vulnerabilidades, que afectan a todas las versiones de Enterprise Linux, se han confirmado en Ubuntu Linux 24.04.1 y potencialmente afectan a cualquier sistema que ejecute el componente explorado por cups. Los investigadores de seguridad identificaron las vulnerabilidades en CUPS, que maneja la impresión en red en Linux y otros sistemas basados en Unix. Las fallas aprovechan la validación de entrada incorrecta al administrar solicitudes de impresora a través de la red, particularmente a través del puerto UDP 631. Al enviar un trabajo de impresión malicioso desde un dispositivo que controlan, los atacantes pueden engañar al sistema para que instale un controlador de impresora comprometido, permitiendo la ejecución de código con privilegios. del usuario IP. Sistemas en riesgo Los siguientes sistemas se ven afectados por esta vulnerabilidad: Servidores y escritorios Linux que ejecutan CUPS o servidores NAS o VOIP navegados por cups que tienen CUPS instalado de forma predeterminada Dispositivos de Internet de las cosas (IoT) configurados con servicios de impresión CUPS Aunque el usuario de IP no es un superusuario, varios investigadores confirmaron que los atacantes podrían utilizar este acceso para escalar sus privilegios e infiltrarse en otras partes de la red. Esta es una seria preocupación para las empresas y organizaciones que dependen de sistemas Linux para operaciones de misión crítica. La vulnerabilidad es particularmente preocupante ya que podría explotarse en análisis automatizados de Internet. Una vez comprometidos, los atacantes podrían instalar troyanos de acceso remoto (RAT) para mantener el control incluso después de aplicar los parches. Vector de ataque y potencial de explotación Para que un atacante aproveche con éxito esta vulnerabilidad, necesitaría acceso a la red local del sistema objetivo o eludir sus protecciones de firewall mediante una regla de firewall mal configurada. Esto es poco común en entornos adecuadamente protegidos, pero sigue siendo una amenaza importante para los dispositivos conectados a redes públicas no seguras. CVE-2024-47176, CVE-2024-47076 y otras vulnerabilidades asociadas permiten a los atacantes crear paquetes UDP dirigidos al servicio CUPS, explotando su validación inadecuada de los atributos de impresión. Las organizaciones deben tomar medidas inmediatas para evaluar la exposición de sus sistemas e implementar las medidas de seguridad recomendadas para mitigar este riesgo crítico. Estrategias de mitigación Para mitigar el riesgo, se insta a los profesionales de seguridad a tomar las siguientes medidas: Parchar inmediatamente: aplicar actualizaciones de seguridad para CUPS tan pronto como estén disponibles Deshabilitar CUPS: si no se requieren servicios de impresión, deshabilite CUPS por completo Restringir el acceso a la red: bloquear UDP puerto 631 en el nivel del firewall para evitar el acceso no autorizado Actualice la configuración: agregue “BrowseDeny All” al archivo de configuración de CUPS para evitar el descubrimiento remoto de la impresora Lea más sobre cómo ataca la escalada de privilegios: Nueva clase de error de escalada de privilegios encontrada en macOS e iOS
Deja una respuesta