Erkennung von CUPS-Exploits: Kritische Sicherheitslücken in Linux- und Unix-Systemen ermöglichen Remote-Code-Ausführung
Inhaltsverzeichnis:
Ein weiterer Tag, eine weitere Herausforderung für Cyberverteidiger. Kürzlich haben Forscher eine Reihe kritischer Sicherheitslücken im OpenPrinting Common Unix Printing System (CUPS) aufgedeckt, einem weit verbreiteten Druckdienst in Linux-Umgebungen. Diese Schwachstellen könnten, wenn sie ausgenutzt werden, Angreifern ermöglichen, beliebigen Code aus der Ferne auszuführen, was ihnen möglicherweise die Kontrolle über betroffene Systeme gibt. Die Entdeckung unterstreicht eine bedeutende Bedrohung sowohl für persönliche als auch unternehmenseigene Linux-Konfigurationen, da CUPS ein Kernelement vieler Druck- und Dokumenten-Workflows ist.
Erkennung von CUPS-RCE-Exploits
Im Jahr 2023 wurden über 30.000 neue Schwachstellen entdeckt. Bis 2024 verzeichnete diese Zahl einen dramatischen Anstieg um 39 %, was die wachsende Bedeutung proaktiver Schwachstellenerkennung als Cybersicherheitsmaßnahme unterstreicht. Die neuesten kritischen Probleme im Rampenlicht sind eine Reihe von Schwachstellen, die CUPS betreffen (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177). Wenn ausgenutzt, könnten die Schwachstellen als RCE-Exploitchain genutzt werden, um Linux- und Unix-Systeme dem Risiko einer Kompromittierung auszusetzen.
Um mögliche Ausnutzungsversuche zu identifizieren, könnten Sicherheitsfachleute sich auf die SOC Prime Plattform für kollektive Cyberabwehr verlassen. Die Plattform bietet eine Reihe kuratierter Erkennungsregeln, die von innovativen Lösungen für fortschrittliches Bedrohungs-Hunting, automatisiertes Bedrohungs-Hunting und KI-gestütztes Detection Engineering begleitet werden.
Drücken Sie auf die Schaltfläche „Detections durchsuchen“ unten, um sofort eine Sammlung von Sigma-Regeln zu durchstöbern, die sich mit der Ausnutzung der CUPS-Schwachstelle befassen. Die Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Formaten kompatibel und sind auf MITRE ATT&CKabgebildet. Darüber hinaus sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich Angriffstiming, CTI-Links, ausführbaren Binärdateien, Triagierungsempfehlungen und mehr.
Sicherheitsforscher, die nach mehr Erkennungsinhalten suchen, die sich mit CVE-Ausnutzungsversuchen befassen, können auf die umfassende Sammlung von CTI-angereicherten Regeln zugreifen, indem sie den Threat Detection Marketplace mit einem „CVE“ Tag durchsuchen.
Analyse der CUPS-Exploitchain-Attacken
Eine kürzlich veröffentlichte Offenlegung hat eine neue Reihe kritischer Schwachstellen in CUPS aufgedeckt, die Angreifern grünes Licht geben, um RCE unter bestimmten Umständen zu agieren. Zu den betroffenen Systemen gehören die meisten GNU/Linux-Distributionen, BSDs, ChromeOS und Solaris, von denen viele den Dienst „cups-browsed“ standardmäßig aktiviert haben.
Der RCE-Angriff wird durch das Ausnutzen mehrerer Schwachstellen (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 und CVE-2024-47177) in verschiedenen CUPS-Komponenten erleichtert, darunter cups-browsed, libppd, libcupsfilters und cups-filters. Genauer gesagt könnte ein nicht authentifizierter Remote-Angreifer potenziell eine Exploitchain entwickeln, um einen gefälschten, bösartigen Drucker auf einem Linux-System zu erstellen, auf dem CUPS läuft und das dem Netzwerk ausgesetzt ist, was zu RCE führt, wenn ein Druckauftrag gesendet wird. Angesichts des umfangreichen Einsatzes von CUPS und des Potenzials für Remote-Ausnutzung stellt dies ein ernstes Risiko für Organisationen dar, die auf die betroffenen Produkte angewiesen sind. Derzeit zeigt der Shodan-Bericht dass mehr als 75.000 CUPS-Dienste öffentlich im Internet zugänglich sind, wobei die fünf Regionen mit der höchsten Anzahl an exponierten Instanzen Südkorea, die USA, Hongkong, Deutschland und China sind.
Varonis-Forscher geben an, dass CUPS-Versionen bis einschließlich 2.0.1 anfällig für die Exploitchain sind. Für einen erfolgreichen Angriff muss der CUPS-Dienst laufen, und Angreifer benötigen Zugriff auf den aktiven CUPS-Port über UDP. Während Firewalls externe Bedrohungen blockieren können, bleiben interne Systeme exponiert. Rapid7-Forscher stellten fest, dass betroffene Systeme vom öffentlichen Internet oder innerhalb von Netzwerksegmenten ausgenutzt werden können, sofern der UDP-Port 631 geöffnet ist und der verwundbare Dienst aktiv ist.
Vor der offiziellen Offenlegung der Schwachstelle zirkulierten mehrere PoC-Exploits online. Zwei Beispiele wurden auf GitHub veröffentlicht, aber beide enthielten Syntaxfehler, die leicht behoben werden könnten. Das Datadog Security Research Team enthüllte, dass der dritte veröffentlichte PoC zuverlässiger zu sein schien, obwohl er erforderte, dass sich der Angreifer und das Opfer im selben lokalen Netzwerk befinden.
Elastic Security Labs versuchte zwei Angriffszenarien, um die Auswirkungen der RCE-Schwachstellenkette zu veranschaulichen: eins mit einer Nutzlast für eine Reverse Shell unter Nutzung von Living-off-the-Land-Techniken und ein weiteres zum Abrufen und Ausführen einer Remote-Nutzlast. Bei erfolgreichen Ausnutzungsversuchen können Angreifer die Kontrolle über das System übernehmen, um beliebige Befehle auszuführen, was zu Datendiebstahl, Ransomware-Implementierung oder anderen offensiven Aktivitäten führen kann, insbesondere in Systemen, die über ein WAN mit Druckern verbunden sind.
Während Patches für die Schwachstellen auf dem Weg sind, hat der Anbieter die Sicherheitsberatung veröffentlicht, um die Risiken der Ausnutzung von Schwachstellen zu minimieren. Evilsocket empfiehlt die Bedrohung durch die CUPS-Exploitchain zu mindern, indem der Dienst cups-browsed deaktiviert oder entfernt, das CUPS-Paket aktualisiert und der gesamte Verkehr zu UDP-Port 631 und DNS-SD blockiert wird.
Mit den neu aufgedeckten CUPS-Schwachstellen, die ein echtes Ausnutzungsrisiko darstellen, suchen Organisationen nach zukunftssicheren Lösungen, um Angriffe, die auf kritische Sicherheitslücken abzielen, proaktiv abzuwehren. Das vollständige Produktportfolio von SOC Prime for KI-gestütztes Detection Engineering, automatisiertes Bedrohungs-Hunting und fortschrittliches Detection Engineering stattet Sicherheitsteams mit einer hochmodernen Tool-Suite aus, um eine robuste Cybersicherheitsposition aufzubauen.