Una serie recientemente descubierta de cuatro fallas peligrosas en el sistema común de impresión Unix (Cups), que se utiliza en prácticamente todas las distribuciones GNU/Linux, incluidas Debian, Red Hat y SUSE, así como en Apple macOS y Google Chrome/Chromium, entre otras cosas. está provocando que suenen las alarmas para los profesionales de seguridad sobre el posible alcance del problema.
Las cuatro vulnerabilidades fueron descubiertas por el investigador Simone Margaritelli, también conocido como evilsocket, quien publicó su artículo y evaluación inicial después de que se publicaran detalles limitados a través de GitHub en lo que parece haber sido una filtración antes de la divulgación coordinada, algo que Computer Weekly entiende que no se suponía que hiciera. sucederá hasta el domingo 6 de octubre.
En su artículo, Margaritelli dijo que después de intentar seguir un proceso de divulgación responsable, se encontró luchando contra desarrolladores desdeñosos que no querían tomar el problema en serio.
Las vulnerabilidades están siendo rastreadas como CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 y CVE-2024-47177 y se cree que, en conjunto, más de 76.000 dispositivos (42.000 de los cuales aceptan conexiones de acceso público) puede estar en riesgo. En la publicación de Margaritelli, sugirió que el número puede ser significativamente mayor, con entre 200.000 y 300.000 dispositivos posiblemente afectados. Instó a los usuarios a desactivar y eliminar los servicios de Cups si no los necesitan.
Cups sirve efectivamente como un sistema de impresión estándar para sistemas operativos tipo Unix que esencialmente permite que las computadoras actúen como servidores de impresión, con una máquina que ejecuta Cups funcionando como un host que acepta trabajos de impresión de los clientes, los procesa y los asigna a una impresora. Habilitado de forma predeterminada en algunos casos, pero no en otros, es de uso generalizado.
Cuando se encadenan, las vulnerabilidades permiten a un atacante no autenticado lograr la ejecución remota de código (RCE) contra sistemas vulnerables si pueden agregar una impresora “fantasma” con una URL maliciosa del Protocolo de impresión de Internet (IPP) a una computadora y luego comenzar un trabajo de impresión en él. Sin embargo, no permite que un atacante inicie un trabajo de impresión en el servidor víctima por su cuenta; es decir, si las máquinas no obtienen los trabajos de impresión, el ataque no se puede desencadenar.
Saeed Abbasi, gerente de producto de la Unidad de Investigación de Amenazas de Qualys, dijo: “Estas vulnerabilidades permiten a un atacante remoto no autenticado reemplazar silenciosamente las URL IPP de las impresoras existentes por otras maliciosas. En consecuencia, puede ocurrir la ejecución de comandos arbitrarios en la computadora afectada cuando se inicia un trabajo de impresión. Un atacante puede enviar un paquete UDP especialmente diseñado al puerto 631 a través de la Internet pública, explotando las vulnerabilidades sin ninguna autenticación.
“Dado que los sistemas GNU/Linux se utilizan ampliamente en servidores empresariales, infraestructura de nube y aplicaciones críticas, la vulnerabilidad tiene una amplia superficie de ataque y potencialmente afecta a una gran cantidad de servidores, computadoras de escritorio y dispositivos integrados en todo el mundo.
“Los atacantes no necesitan credenciales válidas para explotar la vulnerabilidad. La vulnerabilidad permite a los atacantes ejecutar código arbitrario, potencialmente obteniendo control total sobre los sistemas afectados. Tiene una puntuación CVSS de 9,9, lo que indica que la vulnerabilidad es crítica”, dijo Abbasi.
“Las empresas deberían evaluar el riesgo de exposición de los sistemas Cups. Limite el acceso a la red, desactive los servicios no esenciales e implemente estrictos controles de acceso. Prepárese para aplicar parches rápidamente tan pronto como esté disponible y pruébelos minuciosamente para evitar interrupciones en el servicio”.
¿Comparaciones con Log4j?
El hecho de que la cadena de vulnerabilidad tenga una puntuación CVSS tan alta puede indicar que será relativamente trivial explotarla y, según Brian Fox, miembro de la junta directiva de la Open Source Security Foundation (OSSF) y CTO de Sonatype, hace comparaciones con Log4Shell. – una vulnerabilidad en la biblioteca de registro Java Apache Log4j2 descubierta en 2021 que sigue siendo un problema – puede ser adecuada.
“Una explotación exitosa podría ser devastadora: todo, desde el enrutador Wi-Fi hasta la red que mantiene las luces encendidas, funciona con Linux”, dijo Fox. “Esta combinación de baja complejidad y alto uso recuerda a Log4Shell, aunque la escala de uso aquí es mucho más significativa.
“Entiendo la lógica de eliminar gradualmente la divulgación, ya que llevará tiempo encontrar y solucionar esta vulnerabilidad; sin embargo, también deberíamos esperar que los actores de amenazas estudien el historial de confirmaciones y busquen pistas para explotar.
Fox agregó: “Mientras esperamos que salgan más detalles, los equipos de seguridad empresarial deben explorar sus entornos y SBOM para comprender dónde podrían ser vulnerables y estar preparados para aplicar parches. Cancelen sus vacaciones… podría ser una carrera contra los atacantes”.
Sin embargo, el equipo de investigación de JFrog adoptó una opinión contraria y se abstuvo de caracterizar las vulnerabilidades de Cups como un evento de estilo Log4Shell, diciendo que creían que los requisitos previos de explotación en realidad no son tan comunes.
“Si bien no se han publicado versiones reparadas ni para los proyectos anteriores ni para ninguna distribución de Linux, los afectados pueden mitigar estas vulnerabilidades sin necesidad de actualizar deshabilitando y eliminando el servicio de navegación de Cups, bloqueando todo el tráfico al puerto UDP 63 y todo el tráfico DNS-SD. ”, dijo Shachar Menashe, director senior de JFrog Security Research.