最近、多くの Linux および Unix ベースのグラフィカル ユーザー インターフェイス システムにデフォルトでインストールされ、広く使用されているプリント サーバーに新しい脆弱性が発見されました。この脆弱性の主な攻撃ベクトルは、CUPS (Common Cell Printing System) 印刷スケジューラ、特にカップブラウズであり、ユーザーの介入を必要とせずにリモートでコードが実行される可能性があります。
レポートによると、RHEL と Canonical はこの脆弱性に CVSS スコア 9.9 を与えましたが、このスコアは激しい議論を巻き起こし、コードはリモートからシステムにダウンロードできても、ユーザーの介入なしには実行できないため、スコアを低くすべきだと主張する人もいました。幸いなことに、この欠陥が悪用されたという証拠はありませんが、10月に予定されている非公開公開に先立ってこの情報がオンラインに漏洩し、この欠陥を発見した開発者が自身のブログに詳細な説明を投稿することになりました。この場合、悪意のある攻撃者が脆弱性を悪用し始める可能性があります。
研究者 SimoneMargaritelli による長いブログ投稿によると、CUPS 印刷システムに関連するサービスはリモート コード実行に対して脆弱です。基本的に、攻撃システムは、印刷スケジューラをだまして自分がプリンタであると信じ込ませ、プリンタ設定ファイルを装ったマルウェア (任意の実行可能コードの可能性があります) を送信します。 CUPS はポート *:631 経由で送信されたパケットを受け入れるため、このプロセスにはユーザーの介入は必要ありません。
説明会:
CVE-2024-47176|cups-browsed<=2.0.1 は UDPINADDR_ANY:631 にバインドし、任意のソースからのパケットを信頼して、攻撃者が制御する URL への Get-Printer-Attributes IPP リクエストをトリガーします。
CVE-2024-47076|libcupsfilters<=2.1b1cfGetPrinterAttributes5 は、IPP サーバーから返された IPP 属性を検証またはサニタイズせず、攻撃者が制御するデータを CUPS システムの他の部分に提供します。
CVE-2024-47175|libppd<=2.1b1ppdCreatePPDFromIPP2 は、一時 PPD ファイルに書き込むときに IPP 属性を検証またはサニタイズしないため、攻撃者が制御するデータが生成された PPD に挿入される可能性があります。
CVE-2024-47177|cup-filters<=2.0.1foomatic-rip では、FoomaticRIPCommandLinePPD パラメータを介して任意のコマンドを実行できます。
このエクスプロイトは、パッチが適用されていない多数の脆弱性に依存しており、中には 10 年以上前のものもあるため、Linux または Unix ベースのシステムを使用しているユーザーにとっては特に懸念事項です。この攻撃ベクトルが機能するには、システムに CUPS (Common Unix Printing System) と cup-browsed がインストールされ、実行されている必要があります。これは多くのシステムのデフォルトです。 Margaritelli 氏によると、現在 200,000 ~ 300,000 のシステムがインターネットに接続され、印刷サービスを提供していますが、Shodan の報告によると (上のスクリーンショットを参照)、CUPS ポートが開いていてインターネットに接続されているシステムは約 76,000 台あります。
研究者らは、ほとんどの GNU/Linux ディストリビューション、および潜在的に ChromeOS や macOS が影響を受けると主張していますが、これは多くの Linux ディストリビューションのデフォルト構成ではなく、特に大規模なサーバーやデータセンターの構成であってはいけないことに注意する必要があります。つまり、最大のターゲット グループは Linux を実行しているプライベート PC ユーザーになることを意味します。