Дата публикации:
Общие сведения
Данная уязвимость представляет собой возможность неаутентифицированного удаленного выполнения произвольных команд в Unix-based системах, BSD, Solaris, ChromeOS. Для эксплуатации могут использоваться следующие пакеты: cups-browsed, cups-filter, libcupsfilters, libpdd, позволяющие подключать удаленные принтеры CUPS в качестве локальных устройств. Комбинация из уязвимостей (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) позволяет изменить параметры пользовательского принтера или добавить новый принтер, связанный с IPP-сервером злоумышленника, который способен передать специально оформленное описание принтера в PPD-формате. Обработка данного PPD-файла во время запуска вывода на печать приводит к выполнению кода, атакующего после инициации печати со стороны жертвы на подставном принтере.
Рейтинг
В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9.9.
Уязвимые версии и продукты
Уязвимость актуальна для всех систем печати на CUPS, в которых присутствуют уязвимые актуальные версии пакетов:
- cups-filter 2.0.1;
- libcupsfilters 2.1b1;
- libpdd 2.1b1;
- cups-browsed 2.0.1.
Рекомендации
Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:
1. Согласно RedHat, на данный момент можно обезопасить себя от данных уязвимостей с помощью двух команд, особенно в среде, где печать не требуется:
Проверить статус работы службы:
check_statussudo systemctl status cups-browsed
Если служба находится в статусе "running":
stop_servicesudo systemctl stop cups-browsed
Для того, чтобы служба не стартовала после перезагрузки системы, следует прописать:
no_reboot_start_upsudo systemctl disable cups-browsed
2. Также существуют патчи для уязвимых служб, предоставленные OpenPrinting:
3. Проверить актуальность подписки на модуль Security updates.
4. Добавить в блокирующее правило IDPS сигнатуры "18509 Unix systems RCE via CUPS".
