OpenPrinting CUPS存在组合漏洞致远程代码执行

admin 2024年9月28日09:45:31评论9 views字数 2415阅读8分3秒阅读模式

OpenPrinting CUPS存在组合漏洞致远程代码执行

漏洞概述

漏洞名称

OpenPrinting CUPS存在组合漏洞致远程代码执行

安恒CERT评级

1级

CVSS3.1评分

10.0(安恒自评)

POC情况

已发现

EXP情况

未发现

在野利用

未发现

研究情况

分析中

 近日,安恒信息CERT监测到OpenPrinting CUPS存在多个漏洞(CVE-2024-47175、CVE-2024-47176、CVE-2024-47177、CVE-2024-47076),安恒研究院利用AVPT技术对这些漏洞进行综合评估,发现其存在组合利用的可能对这些漏洞的组合利用危害进行评估得出其危害极高。该产品主要使用客户行业分布广泛,建议客户尽快做好自查及防护

漏洞信息

影响范围

影响版本

CVE-2024-47175:libppd <= 2.1b1

CVE-2024-47176:cups-browsed <= 2.0.1

CVE-2024-47177:cups-filters <= 2.0.1

CVE-2024-47076:libcupsfilters <= 2.1b1

漏洞描述

漏洞编号:CVE-2024-47175

漏洞描述在函数ppdCreatePPDFromIPP2中没有对从IPP(互联网打印协议)返回的属性进行充分验证,这可能导致攻击者通过恶意数据注入生成的PPD(PostScript Printer Description)文件,从而在受害系统上执行任意代码。

CVSS3.1分数:8.6

CVSS3.1向量:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

漏洞描述

漏洞编号:CVE-2024-47176

漏洞描述:cups-browsed绑定到INADDR_ANY:631端口,它将会信任任何来源的网络数据包。攻击者可以利用这一漏洞通过伪造的URL发送恶意请求,进而引入恶意打印机,最终导致远程执行任意命令。

CVSS3.1分数:8.4

CVSS3.1向量:

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

漏洞描述

漏洞编号:CVE-2024-47177

漏洞描述:通过PPD文件传递给FoomaticRIPCommandLine的参数用户可控,导致攻击者可以利用该漏洞对其进行恶意构造致任意命令执行。

CVSS3.1分数:9.1

CVSS3.1向量:

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

漏洞描述

漏洞编号:CVE-2024-47076

漏洞描述:攻击者可以通过发送恶意数据控制CUPS系统的行为,在生成PPD文件时引入恶意代码。

CVSS3.1分数:8.6

CVSS3.1向量:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

产品能力覆盖

明鉴漏洞扫描系统(主机扫描)V1.0.3669.0及以上版本已支持检测。

修复方案

官方修复方案:

官方尚未发布修复方案,建议用户尽快采取措施,减少潜在的攻击面,并保持关注相关的安全更新和补丁发布。

临时缓解方案:

自我排查

1、检查cups-browsed服务状态,可以在终端运行以下命令:

systemctl status cups-browsed

若服务正在运行,您将看到其状态显示为”active(running)”;若未启用,则可能会显示”inactive”或”failed”。 

2、运行以下命令检查cups-browsed服务是否在系统启动时自动启用:

systemctl is-enabled cups-browsed

若输出为“enabled”,则表示该服务会在系统启动时自动启动;若是“disabled”,则表示未启用。

 3、使用CUPS Web界面查看:通过访问 CUPS Web 界面(通常是 http://localhost:631)并导航到“Administration”部分,可以查看当前服务的状态和配置。

4、运行以下命令以查看 cups-browsed 进程是否在运行:

ps aux | grep cups-browsed

如果输出中有 cups-browsed 进程,则表示该服务正在运行。

若cups-browsed 服务启用但不必要,建议禁用该服务以提高安全性,可以通过以下命令禁用它:

sudo systemctl disable cups-browsed

并停止该服务:

sudo systemctl stop cups-browsed

参考资料

[1]https://security-tracker.debian.org/tracker/CVE-2024-47175

[2]https://security-tracker.debian.org/tracker/CVE-2024-47176

[3]https://security-tracker.debian.org/tracker/CVE-2024-47177

[4]https://security-tracker.debian.org/tracker/CVE-2024-47076

关于AVPT

AVPT技术适用于在评估漏洞优先级时,综合考虑漏洞本身的危害程度以及漏洞上下游利用组合的可能性。漏洞利用链指的是一系列不同漏洞相互结合,以实现更高级的攻击或渗透目标。其通常由多个漏洞进行组合利用,以绕过防御措施,以致更大的威胁。
安恒研究院自研的AVPT技术通过漏洞的公开信息,快速构建可利用的漏洞链。这些漏洞利用链包括历史漏洞和通用漏洞,展现了不同漏洞之间的关联性。从而进一步评估新发漏洞与历史漏洞存在组合利用的潜在风险。通过综合考虑不同漏洞链的组合情况,我们能够精确量化潜在风险,帮助用户重点关注可能导致系统威胁的漏洞组合。

技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

原文始发于微信公众号(安恒信息CERT):OpenPrinting CUPS存在组合漏洞致远程代码执行

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日09:45:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OpenPrinting CUPS存在组合漏洞致远程代码执行http://cn-sec.com/archives/3216586.html

发表评论

匿名网友 填写信息