cups-browsed远程代码执行漏洞 (CVE-2024-47176) 安全风险通告

漏洞概述
漏洞名称 cups-browsed 远程代码执行漏洞
漏洞编号 QVD-2024-40837,CVE-2024-47176
公开时间 2024-09-26 影响量级 十万级
奇安信评级 高危 CVSS 3.1分数 7.5
威胁类型 代码执行 利用可能性
POC状态 已公开 在野利用状态 未发现
EXP状态 未公开 技术细节状态 已公开
危害描述:该漏洞可能导致攻击者完全控制受影响的系统,包括访问敏感数据、执行任意命令或进行进一步的网络攻击。

利用条件:利用此漏洞需要启用cups-browsed服务(Ubuntu Desktop环境下默认启用),且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。

0漏洞详情

影响组件

CUPS是一个开源的打印系统,用于Linux和其他类UNIX操作系统。CUPS使用Internet Printing Protocol (IPP)来实现本地和网络打印机的打印功能。cups-browsed是一个开源的打印服务组件,它是Common UNIX Printing System (CUPS)的一部分。cups-browsed负责在本地网络上自动发现和添加打印机,使用mDNS(多播DNS)或DNS-SD(DNS服务发现)协议来侦测网络上的打印设备。它使得用户能够无需手动配置即可使用网络打印机。最近披露的漏洞涉及CUPS的几个关键组件,具体如下:

漏洞编号 危害描述 CVSS 3.1分数
CVE-2024-47175 libppd库中存在输入验证不当漏洞,未经验证的IPP数据可能被写入临时PPD文件,导致攻击者注入恶意数据。 8.6
CVE-2024-47076 libcupsfilters库中存在输入验证不当漏洞,攻击者可以发送恶意数据至CUPS系统。 8.6
CVE-2024-47177 cups-filters库中存在命令注入漏洞,攻击者可以通过FoomaticRIPCommandLine PPD参数执行任意命令。 9.1

漏洞描述

近日,奇安信CERT监测到官方修复cups-browsed 远程代码执行漏洞(CVE-2024-47176),该漏洞是由于cups-browsed服务在处理网络打印任务时,会绑定到UDP端口631的INADDR_ANY地址,从而信任来自任何来源的数据包。这会导致未经身份验证的远程攻击者可以利用该漏洞发送特制的数据包,触发恶意请求到攻击者控制的URL,从而在目标系统上执行任意命令。利用此漏洞需要启用cups-browsed服务(Ubuntu Desktop环境下默认启用),且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。目前该漏洞技术细节和POC已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

02 影响范围

影响版本

CVE-2024-47176 cups-browsed <= 2.0.1

CVE-2024-47076 libcupsfilters <= 2.1b1

CVE-2024-47175 libppd <= 2.1b1

CVE-2024-47177 cups-filters <= 2.0.1

03 处置建议

修复建议

由于公开披露时间较早,目前尚无针对该漏洞的补丁。

为了在补丁发布之前缓解这些缺陷的影响,建议禁用并从易受攻击的系统中移除cups-browsed。此外,CUPS 设置为监听 UDP 端口 631,因此建议阻止所有到 UDP 端口 631 的流量

在高可用性场景中,建议将 BrowseRemoteProtocols 指令值从默认的“dnssd cups”更改为“none”

检测方法

检查系统是否易受攻击,验证cups-browsed的状态:

$ sudo systemctl status cups-browsed

如果结果显示“Active: inactive (dead)”,则系统不受漏洞影响。如果服务正在“运行”或“已启用”,则系统易受攻击。

04 参考资料

[1]https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities

[2]https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8

[3]https://access.redhat.com/security/vulnerabilities/RHSB-2024-002

声明:本文来自奇安信 CERT,稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场,转载目的在于传递更多信息。如有侵权,请联系rhliu@skdlabs.com,我们将及时按原作者或权利人的意愿予以更正。

上一篇:起亚汽车曝严重漏洞:仅凭车牌号就可远程控制汽车

下一篇:“盐台风”登陆,美国政府窃听系统遭反窃听?