Rilevare Exploit di CUPS: Vulnerabilità Critiche di Sicurezza nei Sistemi Linux e Unix permettono l’Esecuzione di Codice da Remoto
Indice:
Un altro giorno, un’altra sfida per i difensori del cyberspazio. Recentemente, i ricercatori hanno rivelato una serie di lacune di sicurezza critiche nel sistema di stampa comune Unix di OpenPrinting (CUPS), un servizio di stampa ampiamente utilizzato negli ambienti Linux. Queste vulnerabilità, se sfruttate, potrebbero consentire agli attaccanti di eseguire codice arbitrario da remoto, potenzialmente dando loro il controllo sui sistemi interessati. La scoperta evidenzia una minaccia significativa sia per le configurazioni Linux personali che aziendali, poiché CUPS è un componente fondamentale di molti flussi di lavoro di stampa e gestione documentale.
Rilevazione di Exploit RCE su CUPS
Nel 2023, sono state individuate oltre 30.000 nuove vulnerabilità. Entro il 2024, questa cifra ha visto un drammatico aumento del 39%, sottolineando l’importanza crescente della rilevazione proattiva delle vulnerabilità come misura di sicurezza informatica. Le ultime questioni critiche sotto i riflettori sono un insieme di difetti che interessano CUPS (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177). In caso di sfruttamento, i difetti potrebbero essere utilizzati come una catena di exploit RCE esponendo i sistemi Linux e Unix al rischio di compromissione.
Per identificare possibili tentativi di sfruttamento, i professionisti della sicurezza potrebbero affidarsi alla SOC Prime Platform per la difesa cyber collettiva. La piattaforma fornisce un insieme di regole di rilevamento curate accompagnate da soluzioni innovative per il cyber threat hunting avanzato, il threat hunting automatizzato e il rilevamento ingegnerizzato potenziato dall’IA.
Premi il pulsante Esplora Rilevamenti qui sotto e approfondisci immediatamente una raccolta di regole Sigma che affrontano lo sfruttamento delle vulnerabilità di CUPS. Le regole sono compatibili con oltre 30 formati SIEM, EDR e Data Lake e mappate su MITRE ATT&CK. Inoltre, i rilevamenti sono arricchiti con metadati estesi, inclusi timeline degli attacchi, link CTI, binari eseguibili, raccomandazioni di triage e altro.
I ricercatori della sicurezza che cercano più contenuti di rilevamento che affrontano i tentativi di sfruttamento di CVE possono accedere alla collezione completa di regole arricchite di CTI navigando nel Threat Detection Marketplace con un tag “CVE” .
Analisi dell’Attacco a Catena di Exploit di CUPS
Una recente divulgazione ha rivelato un nuovo set di difetti critici in CUPS, dando agli attaccanti via libera per eseguire RCE in circostanze specifiche. Tra i sistemi impattati ci sono la maggior parte delle distribuzioni GNU/Linux, BSD, ChromeOS e Solaris, con molti di essi che hanno il servizio cups-browsed abilitato di default.
L’attacco RCE è facilitato dallo sfruttamento di più vulnerabilità (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 e CVE-2024-47177) attraverso diversi componenti di CUPS, inclusi cups-browsed, libppd, libcupsfilters e cups-filters. Più specificamente, un attaccante remoto non autenticato potrebbe potenzialmente costruire una catena di exploit per creare una stampante fittizia e malevola su un sistema Linux che esegue CUPS e che è esposto alla rete, portando ad RCE quando viene inviato un lavoro di stampa. Dato l’uso esteso di CUPS e il potenziale per lo sfruttamento remoto, ciò rappresenta un serio rischio per le organizzazioni che si affidano ai prodotti colpiti. Attualmente, il Report Shodan rivela che oltre 75K servizi CUPS sono pubblicamente accessibili su internet, con cinque regioni con il maggior numero di istanze esposte che sono Corea del Sud, Stati Uniti, Hong Kong, Germania e Cina.
I ricercatori di Varonis indicano che le versioni di CUPS fino alla 2.0.1 inclusa sono vulnerabili alla catena di exploit. Per il successo di un attacco, il servizio CUPS deve essere in esecuzione e gli attaccanti richiedono l’accesso alla porta UDP attiva di CUPS. Mentre i firewall possono bloccare le minacce esterne, i sistemi interni restano esposti. I ricercatori di Rapid7 hanno notato che i sistemi colpiti possono essere sfruttati da internet pubblico o all’interno di segmenti di rete solo se la porta UDP 631 è aperta e il servizio vulnerabile è attivo.
Prima della divulgazione ufficiale della vulnerabilità, diversi exploit PoC sono circolati online. Due esempi sono stati postati su GitHub, ma entrambi contenevano errori di sintassi che potevano essere facilmente corretti. Il team di ricerca sulla sicurezza di Datadog ha scoperto che il terzo PoC rilasciato sembrava essere più affidabile, anche se richiedeva che l’attaccante e la vittima fossero sulla stessa rete locale.
Elastic Security Labs ha tentato due scenari di attacco per illustrare gli effetti della catena di vulnerabilità RCE: uno che coinvolge un payload per una reverse shell utilizzando tecniche living-off-the-land, e un altro per il recupero e l’esecuzione di un payload remoto. In caso di tentativi di sfruttamento riusciti, gli avversari possono prendere il controllo del sistema per eseguire comandi arbitrari, il che può portare al furto di dati, al dispiegamento di ransomware o ad altre attività offensive, specialmente in sistemi collegati a stampanti su una WAN.
Anche se le patch per le vulnerabilità sono in arrivo, il fornitore ha rilasciato il consiglio di sicurezza per ridurre al minimo i rischi di sfruttamento delle vulnerabilità. Evilsocket raccomanda di mitigare la minaccia posta dalla catena di exploit di CUPS disabilitando o rimuovendo il servizio cups-browsed, aggiornando il pacchetto CUPS e bloccando tutto il traffico alla porta UDP 631 e DNS-SD.
Con le nuove vulnerabilità di CUPS appena scoperte che pongono un reale rischio di sfruttamento, le organizzazioni stanno cercando soluzioni a prova di futuro per contrastare proattivamente gli attacchi che strumentalizzano difetti di sicurezza critici. L’intera suite di prodotti SOC Prime for l’ingegneria del rilevamento potenziata dall’IA, il threat hunting automatizzato e l’ingegneria del rilevamento avanzata forniscono ai team di sicurezza un toolkit all’avanguardia per costruire una postura di cybersecurity robusta.