Se ha revelado un nuevo conjunto de vulnerabilidades de seguridad en OpenPrinting Common Unix Printing System (TAZAS) en sistemas Linux que podrían permitir la ejecución remota de comandos bajo ciertas condiciones.
«Un atacante remoto no autenticado puede reemplazar silenciosamente las URL IPP de las impresoras existentes (o instalar otras nuevas) por una maliciosa, lo que resulta en la ejecución de comandos arbitrarios (en la computadora) cuando se inicia un trabajo de impresión (desde esa computadora)», dijo la investigadora de seguridad Simone. Margaritelli dicho.
CUPS es un sistema de impresión de código abierto basado en estándares para Linux y otros sistemas operativos similares a Unix, incluidos ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE y SUSE Linux. .
la lista de vulnerabilidades es el siguiente –
Una consecuencia neta de estas deficiencias es que podrían convertirse en una cadena de exploits que permita a un atacante crear un dispositivo de impresión falso y malicioso en un sistema Linux expuesto a la red que ejecute CUPS y activar la ejecución remota de código al enviar un trabajo de impresión.
«El problema surge debido al manejo inadecuado de los anuncios ‘Nueva impresora disponible’ en el componente ‘cups-browsed’, combinado con una mala validación por parte de ‘cups’ de la información proporcionada por un recurso de impresión malicioso», dijo la empresa de seguridad de redes Ontinue. dicho.
«La vulnerabilidad surge de una validación inadecuada de los datos de la red, lo que permite a los atacantes lograr que el sistema vulnerable instale un controlador de impresora malicioso y luego envíe un trabajo de impresión a ese controlador, lo que desencadena la ejecución del código malicioso. El código malicioso se ejecuta con los privilegios de el usuario lp, no el superusuario ‘root'».
RHEL, en un aviso, dijo que todas las versiones del sistema operativo se ven afectadas por las cuatro fallas, pero señaló que no son vulnerables en su configuración predeterminada. Etiquetó los problemas como Importantes en cuanto a gravedad, dado que es probable que el impacto en el mundo real sea bajo.
«Al encadenar este grupo de vulnerabilidades, un atacante podría potencialmente lograr la ejecución remota de código, lo que luego podría conducir al robo de datos confidenciales y/o daños a sistemas de producción críticos», señala. dicho.
Empresa de ciberseguridad Rapid7 señaló que los sistemas afectados son explotables, ya sea desde la Internet pública o a través de segmentos de red, solo si el puerto UDP 631 es accesible y el servicio vulnerable está escuchando.
Palo Alto Networks tiene revelado que ninguno de sus productos y servicios en la nube contiene los paquetes de software relacionados con CUPS antes mencionados y, por lo tanto, no se ven afectados por las fallas.
Actualmente se están desarrollando parches para las vulnerabilidades y se espera que se publiquen en los próximos días. Hasta entonces, es recomendable desactivar y eliminar el servicio de navegación de copas si no es necesario, y bloquear o restringir el tráfico al puerto UDP 631.
«Parece que las vulnerabilidades RCE sin autorización de Linux embargadas que han sido promocionadas como el fin del mundo para los sistemas Linux, pueden afectar sólo a un subconjunto de sistemas», dijo Benjamin Harris, director ejecutivo de WatchTowr, en un comunicado compartido con The Hacker News.
«Teniendo en cuenta esto, si bien las vulnerabilidades en términos de impacto técnico son graves, es significativamente menos probable que las máquinas de escritorio/estaciones de trabajo que ejecutan CUPS estén expuestas a Internet de la misma manera o en números que las típicas ediciones de servidor de Linux».
Satnam Narang, ingeniero senior de investigación de Tenable, dijo que estas vulnerabilidades no están al nivel de Log4Shell o Heartbleed.
«La realidad es que en una variedad de software, ya sea de código abierto o cerrado, hay un sinnúmero de vulnerabilidades que aún no se han descubierto y divulgado», dijo Narang. «La investigación de seguridad es vital para este proceso y podemos y debemos exigir más a los proveedores de software».
«Para las organizaciones que se están concentrando en estas últimas vulnerabilidades, es importante resaltar que las fallas que son más impactantes y preocupantes son las vulnerabilidades conocidas que continúan siendo explotadas por grupos avanzados de amenazas persistentes con vínculos con estados nacionales, así como afiliados de ransomware. que están robando a las corporaciones millones de dólares cada año».