Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Sistemi UNIX a Rischio! L’Utility CUPS Espone i Sistemi ad esecuzione di Codice Arbitrario

Redazione RHC : 27 Settembre 2024 15:51

Il 26 settembre 2024 sono state divulgate quattro vulnerabilità (secondo RedHat di livello
“Important” più che critiche) relative a CUPS – Common Unix Printing System, usato per la
gestione di stampanti su UNIX e Linux, scoperte e riportate da Simone “EvilSocket
Margaritelli.

Queste vulnerabilità, identificate come CVE-2024-47076, CVE-2024-47175,
CVE-2024-47176, CVE-2024-47177,
permettono ad un attaccante remoto non autenticato
di eseguire codice arbitrario sui dispositivi vulnerabili, sfruttando componenti come
libcupsfilters, libppd, cups-browsed e foomatic-rip.

CUPS: Cos’è e come Funziona

CUPS, un sistema di stampa basato su IPP (Internet Printing Protocol), consente la
gestione di stampanti locali e remote. Rispetto ai recenti findings, i suoi meccanismi di
gestione delle richieste IPP e dei file PPD espongono vulnerabilità che, se sfruttate,
permettono agli attaccanti di manipolare le stampanti e inviare comandi prendendo il
controllo dei servers.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Le vulnerabilità scoperte sono le seguenti:

    • CVE-2024-47176: Il componente cups-browsed accetta pacchetti IPP da qualsiasi sorgente, consentendo di inviare richieste Get-Printer-Attributes con URL controllati dall’attaccante. RedHat ha assegnato CVSSv3 score pari a 7.5.
    • CVE-2024-47076: In libcupsfilters, la funzione cfGetPrinterAttributes5 non valida i dati IPP, permettendo l’inserimento di attributi malevoli. RedHat ha assegnato CVSSv3 score pari a 8.2.
    • CVE-2024-47175: In libppd, la funzione ppdCreatePPDFromIPP2 scrive attributi IPP non validati in file temporanei, consentendo l’iniezione di codice. RedHat ha assegnato CVSSv3 score pari a 7.7.
    • CVE-2024-47177: Il filtro foomatic-rip permette l’esecuzione arbitraria di comandi tramite il parametro FoomaticRIPCommandLine in file PPD. RedHat ha assegnato CVSSv3 score pari a 6.1.

    Attacco ed Impatti

    Queste vulnerabilità, unite, permettono a un attaccante di inviare pacchetti IPP malevoli, modificando gli URL delle stampanti con collegamenti controllati. Una volta avviata la stampa, l’attaccante può eseguire codice arbitrario sul sistema target. Dato che CUPS è abilitato per impostazione predefinita e ascolta sulla porta UDP 631, molti sistemi potrebbero essere esposti se questa porta è accessibile pubblicamente.

    Secondo una rapida ricerca condotta da Tenable su Shodan, ci sono circa 75.000 host pubblicamente esposti su internet, aumentando il rischio di exploit su larga scala. Questo rende le vulnerabilità un problema grave, anche se non viene considerata al livello di altre minacce storiche come Log4Shell.

    Mitigazione

    In attesa di patch ufficiali, è possibile mitigare i rischi seguendo alcune best practice:

    1. Disabilitare o rimuovere cups-browsed: Riducendo così significativamente la superficie di attacco.
    2. Bloccare il traffico sulla porta UDP 631: Limitare l’accesso a questa porta impedendo l’esposizione su internet.
    3. Applicare patch appena possibile: Red Hat e altri vendor stanno lavorando a patch che risolveranno queste vulnerabilità; è essenziale aggiornare i sistemi appena disponibili.

    Per verificare se il servizio cups-browsed è attivo (dato che, ad esempio, il servizio non è presente di default su RedHat), si può eseguire il seguente comando tramite CLI:

    sudo systemctl status cups-browsed >

    Conclusioni

    Le vulnerabilità che affliggono CUPS rappresentano una minaccia significativa per i sistemi Linux e UNIX, soprattutto se esposti pubblicamente. Sebbene al momento non ci siano exploit attivi conosciuti, la disponibilità di dettagli tecnici e PoC (Proof of Concept) suggerisce fortemente che emergere presto exploit. Risulta quindi fondamentale che si adottino immediatamente misure preventive per proteggere i vari ambienti.

    Per eventuali approfondimenti, postiamo il link al blog-post di EvilSocket del writeup delle vulnerabilità:

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

    Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

    X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

    Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

    Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

    Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

    Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

    Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

    Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

    La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...