研究人员演示利用UNIX打印系统0day漏洞进行 DDoS 攻击

一名研究人员警告称，通用 UNIX 打印系统 (CUPS) 可能被滥用于未经身份验证的远程代码执行，几天后，网络安全公司 Akamai 确定 CUPS 也可能被滥用于大规模 DDoS 攻击。

CUPS 是一种流行的开源打印系统，它基于互联网打印协议 (IPP)，主要为 Linux 和类 UNIX 操作系统设计。

研究员 Simone Margaritelli 上周披露了几个未修补的 CUPS 漏洞，这些漏洞可以串联起来实现远程代码执行，据 Red Hat 称，这可能导致敏感数据被盗或关键系统受损。

Akamai 研究人员分析了 Margaritelli 的报告，发现了一种涉及 CUPS 的新攻击媒介，可用于发动 DDoS 攻击。

具体来说，攻击者可以向存在漏洞的 CUPS 实例发送特制的 UDP 数据包，指示其添加打印机。攻击者指定的“打印机”实际上是目标的地址，CUPS 将向其发送 IPP/HTTP 请求。

Akamai 解释道：“对于每个发送的数据包，易受攻击的 CUPS 服务器都会生成一个更大且部分受攻击者控制的 IPP/HTTP 请求，该请求指向指定目标。因此，不仅目标受到影响，而且 CUPS 服务器的主机也成为受害者，因为攻击会消耗其网络带宽和 CPU 资源。”

此外，攻击者可以使用填充来使这些请求变得更大，并进一步扩大攻击。

Akamai 的分析显示，超过 58,000 台暴露在互联网上的 CUPS 服务器可能被滥用进行此类 DDoS 攻击。

Akamai 表示：“如果我们假设所有 58,000 多台已识别的 CUPS 主机都被卷入同一场攻击活动中，那么在最小填充的情况下，每个 UDP 数据包的传入攻击流量可能达到 1 GB。最大填充的情况下，流量可能会达到 6 GB。”

“虽然这些带宽数字可能不算惊天动地，但无论哪种情况，它们仍会导致目标需要处理大约 260 万个 TCP 连接和 HTTP 请求。”

该公司警告称，攻击者发动此类攻击非常容易且成本低廉，仅需几秒钟即可攻陷所有易受攻击的 CUPS 主机。

至于 RCE 漏洞，网络安全行业的一些成员在漏洞披露后指出，这些漏洞似乎并不像 Margaritelli 最初所说的那么严重，特别是因为触发漏洞似乎需要一些用户交互。这位研究人员后来表示，该漏洞可以改编成零点击攻击。

官方补丁尚未发布，但一些 Linux 发行版已为其用户提供了修复程序。

Censys进行了扫描，发现数千个易受攻击的 CUPS 实例暴露在互联网上。

自漏洞披露以来， 针对与 CUPS 相关的端口的扫描活动有所增加。

链接：

https://www.securityweek.com/after-code-execution-researchers-show-how-cups-can-be-abused-for-ddos-attacks/

讲述普通人能听懂的安全故事