通用Unix打印系统（杯）的多重漏洞

最后更新于2024年10月4日星期五19:53:48 GMT

2024年9月26日，星期四，一位安全研究员 公开披露 影响OpenPrinting不同组件的几个漏洞 杯 （通用Unix打印系统）. 杯是一种流行的基于ip的开源打印系统，主要（但不仅限于）用于Linux和类unix操作系统. 根据研究者的说法, 成功的漏洞利用链允许远程未经身份验证的攻击者用恶意url替换现有打印机的IPP url, 导致从目标设备启动打印作业时执行任意命令.

披露的漏洞包括：

• cve - 2024 - 47176: 影响 cups-browsed <= 2.0.1. 该服务绑定在UDP *:631上，信任来自任何来源的任何数据包触发a Get-Printer-Attributes 向攻击者控制的URL发送IPP请求.
• cve - 2024 - 47076: 影响 libcupsfilters <= 2.1b1. cfGetPrinterAttributes5 没有验证或清理从IPP服务器返回的IPP属性, 向杯系统的其余部分提供攻击者控制的数据.
• cve - 2024 - 47175: 影响 libppd <= 2.1b1. 的 ppdCreatePPDFromIPP2 在将IPP属性写入临时PPD文件时，API不会验证或清理IPP属性, 允许在生成的PPD中注入攻击者控制的数据.
• cve - 2024 - 47177: 影响 cups-filters <= 2.0.1. 的 foomatic-rip 过滤器允许任意命令执行 FoomaticRIPComm和Line 产后抑郁症的参数.

根据研究人员的博客披露, 受影响的系统可以从公共互联网上利用, 或者跨网段, 如果UDP 631端口暴露，并且有漏洞的服务正在监听. 杯在大多数流行的Linux发行版上默认是启用的, 但是可利用性可能因实现而异. 截至美国东部时间9月26日星期四下午6点，红帽已经 一个顾问 可用的注意事项是他们考虑这组漏洞的 重要的 严重性而不是 至关重要的.

公共漏洞可用. 大约有75个,披露时，有000个杯守护进程暴露在公共互联网上, 但值得注意的是, 例如，互联网曝光搜索查询可能并不完全准确, 如果它们正在检查TCP 631 (i.e., cupsd 基于http的web管理服务)，而不是UDP 631（受影响） cups-browsed 服务).

缓解指导

我们预计在未来几天内，受影响的供应商和发行版将提供补丁和补救指导. 虽然这些漏洞在披露时还不知道会在野外被利用, 在问题公开发布之前，技术细节就被泄露了, 这可能意味着攻击者和研究人员有机会开发漏洞代码. 作为预防措施，我们建议尽快应用补丁和/或缓解措施, 即使在某些实现中可利用性更有限.

其他缓解指导：

• 禁用并删除 cups-browsed 如果不需要，请提供服务
• 阻止或限制流量到UDP端口631（如下所述）, 这并不能阻止对局域网的利用。

Rapid7自己的测试证实，阻止UDP端口631将不能有效地防止对局域网的利用, 由于存在次级通道(e.g.（mDNS），可以促进利用.

Rapid7客户

InsightVM和expose客户可以通过在基于unix的系统上查找受影响的杯包的身份验证检查来评估他们对这些cve的暴露. 美国东部时间9月26日星期四晚上7点40分，这些检查在第二份内容发布中发布. 随着供应商发布修复程序和更多信息，我们希望在未来几天更新额外的检查.

通过Rapid7扩展的检测规则库，insighttidr和Managed 检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表，并将对与利用最近杯漏洞相关的行为发出警报：

• 可疑进程- IPP打印进程启动Shell