前端开发入门到精通的在线学习网站

网站首页 > 资源文章 正文

新的Linux RCE漏洞在披露前泄露 - 允许通过CUPS打印调度程序执行任意代码

qiguaw 2024-11-10 10:43:58 资源文章 15 ℃ 0 评论

最近在一个广泛使用的打印服务器中发现了一个新漏洞,该打印服务器默认安装在许多基于 Linux 和 Unix 的图形用户界面系统中。 该漏洞的主要攻击载体是 CUPS(通用单元打印系统)打印调度程序,特别是 cups-browsed,它有可能在零用户交互要求的情况下远程执行代码。

据报道,RHEL 和 Canonical 给该漏洞打出了 9.9 分的 CVSS 分值,但这一分值引起了激烈的争论,有人认为它的分值应该更低,因为虽然代码可以远程下载到系统中,但在没有用户干预的情况下无法执行。 幸运的是,尽管披露信息在计划于 10 月份私下披露之前已在网上泄露,但没有证据表明该漏洞已被利用,这促使发现该漏洞的开发人员在其博客上发布了完整的解释。 在这种情况下,恶意行为者很可能开始利用该漏洞。

根据研究人员 Simone Margaritelli 的长篇博文,与 CUPS 打印系统相关的服务很容易被远程代码执行。 从本质上讲,攻击系统会让打印调度程序相信它是一台打印机,并发送伪装成打印机配置文件的恶意软件(可能是任意可执行代码)。 这个过程不需要用户干预,因为 CUPS 会接受通过端口 *:631 发送的任何数据包。

简报:

  • CVE-2024-47176 | cups-browsed

  • CVE-2024-47076 | libcupsfilters

  • CVE-2024-47175 | libppd

  • CVE-2024-47177 | cup-filters

特定的漏洞利用依赖于大量未修补的漏洞,其中一些漏洞已有十多年的历史,因此对于使用基于 Linux 或 Unix 的系统的用户来说,这是一个特别令人担忧的问题。 要使这一攻击向量发挥作用,系统需要安装并运行 CUPS(通用 Unix 打印系统)和 cups-browsed,而这是许多系统的默认设置。 根据 Margaritelli 的说法,目前有 20 万至 30 万个系统连接到互联网并提供打印服务,但 Shodan 报告(见上面的截图)称,大约有 7.6 万个系统打开了 CUPS 端口并连接到互联网。

虽然研究人员声称大多数 GNU/Linux 发行版以及潜在的 ChromeOS 和 macOS 都受到了影响,但应该注意的是,这并不是许多 Linux 发行版的默认配置,尤其不应该是任何大型服务器或数据中心的配置,这意味着最大的目标群体将是运行 Linux 的私人 PC 用户。

Tags:

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表