Detectando Explotaciones de CUPS: Vulnerabilidades Críticas de Seguridad en Sistemas Linux y Unix Permiten Ejecución Remota de Código
Tabla de contenidos:
Otro día, otro desafío para los defensores cibernéticos. Recientemente, investigadores revelaron una serie de brechas de seguridad críticas en el Sistema de Impresión Común Unix (CUPS) de OpenPrinting, un servicio de impresión ampliamente utilizado en entornos Linux. Estas vulnerabilidades, si fueran explotadas, podrían permitir a los atacantes ejecutar código arbitrario de manera remota, potencialmente dándoles control sobre los sistemas afectados. El descubrimiento destaca una amenaza significativa tanto para configuraciones personales como empresariales de Linux, ya que CUPS es un componente central de muchos flujos de trabajo de impresión y manejo de documentos.
Detección de Explotaciones RCE de CUPS
En 2023, se detectaron más de 30,000 nuevas vulnerabilidades. Para 2024, esta cifra vio un dramático incremento del 39%, subrayando la creciente importancia de la detección proactiva de vulnerabilidades como una medida de ciberseguridad. Los últimos problemas críticos en el centro de atención son un conjunto de fallos que afectan a CUPS (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177). En caso de ser explotadas, las fallas podrían ser aprovechadas como una cadena de explotación RCE exponiendo a los sistemas Linux y Unix al riesgo de compromiso.
Para identificar posibles intentos de explotación, los profesionales de seguridad podrían confiar en SOC Prime Platform para la defensa cibernética colectiva. La Plataforma proporciona un conjunto de reglas de detección curadas acompañadas de soluciones innovadoras para la caza avanzada de amenazas, caza automatizada de amenazas e ingeniería de detección potenciada por IA.
Presiona el botón Explorar Detecciones abajo e inmediatamente profundiza en una colección de reglas Sigma que abordan la explotación de vulnerabilidades de CUPS. Las reglas son compatibles con más de 30 formatos de SIEM, EDR y Data Lake y están mapeadas a MITRE ATT&CK. Además, las detecciones están enriquecidas con una amplia metadatos, incluyendo líneas de tiempo de ataques, enlaces CTI, binarios ejecutables, recomendaciones de triaje y más.
Investigadores de seguridad que buscan más contenido de detección que aborde intentos de explotación de CVE podrían acceder a la colección integral de reglas enriquecidas con CTI al navegar por Threat Detection Marketplace con una etiqueta “CVE” .
Análisis de Ataque de Cadena de Explotación de CUPS
Una divulgación reciente ha revelado un nuevo conjunto de fallos críticos en CUPS, dando a los atacantes luz verde para realizar RCE bajo circunstancias específicas. Entre los sistemas afectados se encuentran la mayoría de distribuciones de GNU/Linux, BSDs, ChromeOS y Solaris, con muchos de ellos teniendo el servicio cups-browsed habilitado por defecto.
El ataque RCE se facilita explotando múltiples vulnerabilidades (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 y CVE-2024-47177) a través de diferentes componentes de CUPS, incluyendo cups-browsed, libppd, libcupsfilters y cups-filters. Más específicamente, un atacante remoto no autenticado podría potencialmente crear una cadena de explotación para crear una impresora falsa y maliciosa en un sistema Linux que ejecute CUPS y esté expuesto a la red, llevando a RCE cuando se envía un trabajo de impresión. Dado el uso extenso de CUPS y el potencial de explotación remota, esto representa un riesgo serio para las organizaciones que dependen de los productos afectados. Actualmente, el Informe Shodan revela que más de 75K servicios de CUPS son accesibles públicamente en internet, siendo las cinco regiones con mayor número de instancias expuestas Corea del Sur, los EE. UU., Hong Kong, Alemania y China.
Investigadores de Varonis indican que las versiones de CUPS hasta e incluyendo la 2.0.1 son vulnerables a la cadena de explotación. Para que un ataque tenga éxito, el servicio CUPS debe estar en funcionamiento, y los atacantes requieren acceso al puerto activo de CUPS vía UDP. Mientras que los cortafuegos pueden bloquear amenazas externas, los sistemas internos permanecen expuestos. Investigadores de Rapid7 notaron que los sistemas afectados pueden ser explotados desde internet público o dentro de segmentos de red solo si el puerto UDP 631 está abierto y el servicio vulnerable está activo.
Antes de la divulgación oficial de la vulnerabilidad, circularon varios exploits de prueba de concepto en línea. Dos ejemplos fueron publicados en GitHub, pero ambos contenían errores de sintaxis que podrían ser fácilmente corregidos. El equipo de Investigación de Seguridad de Datadog descubrió que el tercer PoC liberado parecía ser más confiable, aunque requería que el atacante y la víctima estuvieran en la misma red local.
Elastic Security Labs intentó dos escenarios de ataque para ilustrar los efectos de la cadena de vulnerabilidades RCE: uno que involucraba una carga útil para un shell inverso utilizando técnicas de vivir de la tierra, y otro para recuperar y ejecutar una carga útil remota. Tras intentos de explotación exitosos, los adversarios pueden tomar control del sistema para ejecutar comandos arbitrarios, lo que puede llevar al robo de datos, despliegue de ransomware u otras actividades ofensivas, particularmente en sistemas vinculados a impresoras a través de una WAN.
Mientras los parches para las vulnerabilidades están en camino, el proveedor ha lanzado el aviso de seguridad para minimizar los riesgos de explotación de vulnerabilidades. Evilsocket recomienda mitigar la amenaza que plantea la cadena de explotación de CUPS deshabilitando o eliminando el servicio cups-browsed, actualizando el paquete CUPS y bloqueando todo el tráfico al puerto UDP 631 y DNS-SD.
Con las recién descubiertas vulnerabilidades de CUPS representando un riesgo real de explotación, las organizaciones buscan soluciones a prueba de futuro para prevenir proactivamente los ataques que aprovechan fallos críticos de seguridad. La suite completa de productos de SOC Prime for Ingeniería de detección potenciada por IA, caza automatizada de amenazas e ingeniería avanzada de detección equipa a los equipos de seguridad con un conjunto de herramientas de vanguardia para construir una postura de ciberseguridad robusta.