Détection des exploits CUPS : Vulnérabilités critiques de sécurité dans les systèmes Linux et Unix permettant l’exécution de code à distance
Table des matières :
Un autre jour, un autre défi pour les défenseurs cyber. Récemment, des chercheurs ont révélé une série de failles de sécurité critiques dans le système d’impression Unix commun OpenPrinting (CUPS), un service d’impression largement utilisé dans les environnements Linux. Ces vulnérabilités, si elles sont exploitées, pourraient permettre aux attaquants d’exécuter du code arbitraire à distance, leur donnant potentiellement le contrôle des systèmes affectés. La découverte met en évidence une menace significative pour les configurations Linux tant personnelles qu’entreprises, car CUPS est un élément central de nombreux flux de travail d’impression et de gestion de documents.
Détection d’exploits RCE de CUPS
En 2023, plus de 30 000 nouvelles vulnérabilités ont été repérées. En 2024, ce chiffre a connu une augmentation de 39 %, soulignant l’importance croissante de la détection proactive des vulnérabilités comme mesure de cybersécurité. Les dernières questions critiques en lumière sont un ensemble de failles affectant CUPS (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177). Si elles sont exploitées, ces failles pourraient être utilisées comme une chaîne d’exploit RCE exposant les systèmes Linux et Unix au risque de compromission.
Pour identifier les tentatives d’exploitation possibles, les professionnels de la sécurité peuvent s’appuyer sur SOC Prime Platform pour une défense cyber collective. La plateforme fournit un ensemble de règles de détection organisées accompagnées de solutions innovantes pour la chasse aux menaces avancée, la chasse aux menaces automatisée, et l’ingénierie de détection assistée par IA.
Cliquez sur le bouton Explorer les Détections ci-dessous et accédez immédiatement à une collection de règles Sigma traitant de l’exploitation des vulnérabilités CUPS. Les règles sont compatibles avec plus de 30 formats SIEM, EDR et Data Lake et sont cartographiées sur MITRE ATT&CK. De plus, les détections sont enrichies avec de vastes métadonnées, y compris des chronologies d’attaques, des liens CTI, des binaires exécutables, des recommandations de triage et plus encore.
Les chercheurs en sécurité à la recherche de plus de contenu de détection traitant des tentatives d’exploitation CVE peuvent accéder à la collection complète de règles enrichies en CTI en parcourant le marché de détection des menaces avec une « CVE » étiquette.
Analyse de la chaîne d’exploit de CUPS
Une divulgation récente a révélé un nouvel ensemble de failles critiques dans CUPS, donnant aux attaquants la voie libre pour exécuter RCE dans des circonstances spécifiques. Parmi les systèmes impactés figurent la plupart des distributions GNU/Linux, BSDs, ChromeOS et Solaris, dont beaucoup ont le service cups-browsed activé par défaut.
L’attaque RCE est facilitée en exploitant plusieurs vulnérabilités (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, et CVE-2024-47177) à travers différents composants de CUPS, incluant cups-browsed, libppd, libcupsfilters, et cups-filters. Plus précisément, un attaquant distant non authentifié pourrait potentiellement forger une chaîne d’exploit pour créer une imprimante malveillante et factice sur un système Linux exécutant CUPS exposé au réseau, menant à une RCE lorsqu’un travail d’impression est envoyé. Compte tenu de l’utilisation intensive de CUPS et du potentiel d’exploitation à distance, cela pose un risque sérieux pour les organisations qui dépendent des produits affectés. Actuellement, le rapport Shodan révèle que plus de 75 K services CUPS sont accessibles publiquement sur internet, avec cinq régions ayant le plus grand nombre d’instances exposées étant la Corée du Sud, les États-Unis, Hong Kong, l’Allemagne et la Chine.
Les chercheurs de Varonis indiquent que les versions de CUPS jusqu’à et y compris 2.0.1 sont vulnérables à la chaîne d’exploit. Pour qu’une attaque réussisse, le service CUPS doit être exécuté, et les attaquants doivent avoir accès au port CUPS actif via UDP. Alors que les pare-feu peuvent bloquer les menaces externes, les systèmes internes restent exposés. Les chercheurs de Rapid7 ont noté que les systèmes impactés peuvent être exploités depuis l’internet public ou au sein de segments réseau uniquement si le port UDP 631 est ouvert et que le service vulnérable est actif.
Avant la divulgation officielle des vulnérabilités, plusieurs exploits PoC ont circulé en ligne. Deux exemples ont été postés sur GitHub, mais les deux contenaient des erreurs de syntaxe qui pouvaient être facilement corrigées. L’équipe de recherche en sécurité de Datadog a découvert que le troisième PoC publié semblait plus fiable, bien qu’il nécessitait que l’attaquant et la victime soient sur le même réseau local.
Les Elastic Security Labs ont tenté deux scénarios d’attaque pour illustrer les effets de la chaîne de vulnérabilités RCE : l’un impliquant une charge utile pour une shell inversée utilisant des techniques de survie sur le système, et un autre pour récupérer et exécuter une charge utile distante. En cas de tentatives d’exploitation réussies, les adversaires peuvent prendre le contrôle du système pour exécuter des commandes arbitraires, ce qui peut conduire au vol de données, au déploiement de rançongiciels ou à d’autres activités offensives, en particulier dans les systèmes connectés aux imprimantes sur un WAN.
Tandis que les correctifs pour les vulnérabilités sont en route, le vendeur a publié l’ avis de sécurité pour minimiser les risques d’exploitation de vulnérabilité. Evilsocket recommande d’atténuer la menace posée par la chaîne d’exploit CUPS en désactivant ou en supprimant le service cups-browsed, en mettant à jour le package CUPS, et en bloquant tout le trafic vers le port UDP 631 et DNS-SD.
Avec les nouvelles vulnérabilités CUPS découvertes posant un risque d’exploitation réel, les organisations recherchent des solutions pérennes pour contrecarrer de manière proactive les attaques utilisant des failles de sécurité critiques. La suite complète des produits SOC Prime for L’ingénierie de détection assistée par l’IA, la chasse aux menaces automatisée, et l’ingénierie de détection avancée équipent les équipes de sécurité d’un ensemble d’outils de pointe pour construire une posture de cybersécurité robuste.