大工网安告[2024]027
一、 情况分析
CUPS是一个开源的打印系统,用于Linux和其他类UNIX操作系统。CUPS使用Internet Printing Protocol(IPP)来实现本地和网络打印机的打印功能。cups-browsed是一个开源的打印服务组件,它是Common UNIX Printing System(CUPS)的一部分。cups-browsed负责在本地网络上自动发现和添加打印机,使用mDNS(多播DNS)或DNS-SD(DNS服务发现)协议来侦测网络上的打印设备。它使得用户能够无需手动配置即可使用网络打印机。最近披露的漏洞涉及CUPS的几个关键组件,具体如下:
漏洞编号 | 危害描述 | CVSS 3.1分数 |
CVE-2024-47175 | libppd库中存在输入验证不当漏洞,未经验证的IPP 数据可能被写入临时PPD 文件,导致攻击者注入恶意数据。 | 8.6 |
CVE-2024-47076 | libcupsfilters库中存在输入验证不当漏洞,攻击者可以发送恶意数据至CUPS 系统 | 8.6 |
CVE-2024-47177 | cups-filters库中存在命令注入漏洞,攻击者可以通过FoomaticRIPCommandLine PPD参数执行任意命令 | 9.1 |
近日,发现cups-browsed远程代码执行漏洞(CVE-2024-47176),该漏洞是由于cups-browsed服务在处理网络打印任务时,会绑定到UDP端口631的INADDR_ANY地址,从而信任来自任何来源的数据包。这会导致未经身份验证的远程攻击者可以利用该漏洞发送特制的数据包,触发恶意请求到攻击者控制的URL,从而在目标系统上执行任意命令。利用此漏洞需要启用cups-browsed服务(Ubuntu Desktop环境下默认启用),且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。目前该漏洞技术细节和POC已公开,鉴于此漏洞影响范围较大,建议大家尽快做好自查及防护。
威胁类型:代码执行。
技术类型:数据验证不恰当。
利用条件:无。
危害描述:该漏洞可能导致攻击者完全控制受影响的系统,包括访问敏感数据、执行任意命令或进行进一步的网络攻击。
二、 影响版本
cups-browsed <= 2.0.1
三、 处置建议
由于公开披露时间较早,目前尚无针对该漏洞的补丁。
为了在补丁发布之前缓解这些缺陷的影响,建议禁用并从易受攻击的系统中移除cups-browsed。此外,CUPS 设置为监听UDP 端口631,因此建议阻止所有到UDP 端口631 的流量。
在高可用性场景中,建议将BrowseRemoteProtocols 指令值从默认的“dnssd cups”更改为“none”。
检测方法:
检查系统是否易受攻击,验证cups-browsed 的状态:
$ sudo systemctl status cups-browsed
如果结果显示“Active: inactive (dead)”,则系统不受漏洞影响。如果服务正在“运行”或“已启用”,则系统易受攻击。
