● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 |
|||
漏洞名称 |
cups-browsed 远程代码执行漏洞 |
||
漏洞编号 |
QVD-2024-40837,CVE-2024-47176 |
||
公开时间 |
2024-09-26 |
影响量级 |
十万级 |
奇安信评级 |
高危 |
CVSS 3.1分数 |
7.5 |
威胁类型 |
代码执行 |
利用可能性 |
高 |
POC状态 |
已公开 |
在野利用状态 |
未发现 |
EXP状态 |
未公开 |
技术细节状态 |
已公开 |
危害描述:该漏洞可能导致攻击者完全控制受影响的系统,包括访问敏感数据、执行任意命令或进行进一步的网络攻击。 利用条件:利用此漏洞需要启用cups-browsed服务(Ubuntu Desktop环境下默认启用),且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。 |
影响组件
CUPS是一个开源的打印系统,用于Linux和其他类UNIX操作系统。CUPS使用Internet Printing Protocol (IPP)来实现本地和网络打印机的打印功能。cups-browsed是一个开源的打印服务组件,它是Common UNIX Printing System (CUPS)的一部分。cups-browsed负责在本地网络上自动发现和添加打印机,使用mDNS(多播DNS)或DNS-SD(DNS服务发现)协议来侦测网络上的打印设备。它使得用户能够无需手动配置即可使用网络打印机。最近披露的漏洞涉及CUPS的几个关键组件,具体如下:
漏洞编号 | 危害描述 | CVSS 3.1分数 |
CVE-2024-47175 | libppd库中存在输入验证不当漏洞,未经验证的IPP数据可能被写入临时PPD文件,导致攻击者注入恶意数据。 | 8.6 |
CVE-2024-47076 | libcupsfilters库中存在输入验证不当漏洞,攻击者可以发送恶意数据至CUPS系统。 | 8.6 |
CVE-2024-47177 | cups-filters库中存在命令注入漏洞,攻击者可以通过FoomaticRIPCommandLine PPD参数执行任意命令。 | 9.1 |
漏洞描述
近日,奇安信CERT监测到官方修复cups-browsed 远程代码执行漏洞(CVE-2024-47176),该漏洞是由于cups-browsed服务在处理网络打印任务时,会绑定到UDP端口631的INADDR_ANY地址,从而信任来自任何来源的数据包。这会导致未经身份验证的远程攻击者可以利用该漏洞发送特制的数据包,触发恶意请求到攻击者控制的URL,从而在目标系统上执行任意命令。利用此漏洞需要启用cups-browsed服务(Ubuntu Desktop环境下默认启用),且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。目前该漏洞技术细节和POC已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
影响版本
CVE-2024-47176 cups-browsed <= 2.0.1
CVE-2024-47076 libcupsfilters <= 2.1b1
CVE-2024-47175 libppd <= 2.1b1
CVE-2024-47177 cups-filters <= 2.0.1
修复建议
由于公开披露时间较早,目前尚无针对该漏洞的补丁。
为了在补丁发布之前缓解这些缺陷的影响,建议禁用并从易受攻击的系统中移除cups-browsed。此外,CUPS 设置为监听 UDP 端口 631,因此建议阻止所有到 UDP 端口 631 的流量。
在高可用性场景中,建议将 BrowseRemoteProtocols 指令值从默认的“dnssd cups”更改为“none”。
检测方法
检查系统是否易受攻击,验证cups-browsed的状态:
$ sudo systemctl status cups-browsed
如果结果显示“Active: inactive (dead)”,则系统不受漏洞影响。如果服务正在“运行”或“已启用”,则系统易受攻击。
[1]https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities
[2]https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8
[3]https://access.redhat.com/security/vulnerabilities/RHSB-2024-002
2024年9月27日,奇安信 CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):cups-browsed 远程代码执行漏洞(CVE-2024-47176)安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论