CUPSエクスプロイトの検出：LinuxおよびUnixシステムにおけるリモートコード実行を可能にする重大なセキュリティ脆弱性

また1日が過ぎ、サイバー防御者にとっての新たな挑戦が訪れました。最近、研究者たちはOpenPrinting Common Unix Printing System (CUPS) における一連の重大なセキュリティギャップを明らかにしました。これはLinux環境で広く使用されている印刷サービスです。これらの脆弱性が悪用された場合、攻撃者はリモートで任意のコードを実行することができ、影響を受けたシステムを制御下に置く可能性があります。この発見は、CUPSが印刷や文書処理ワークフローの多くにおいて中核をなすため、個人および企業のLinux環境にとって重大な脅威を浮き彫りにしています。

CUPS RCEエクスプロイト検出

2023年には、30,000を超える新しい脆弱性が発見されました。2024年には、この数字は劇的に 39%増加し、サイバーセキュリティ対策として脆弱性のプロアクティブな検出の重要性が高まっています。最新の注目すべき重大問題は、CUPSに影響を与える一連の欠陥であるCVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177です。悪用された場合、この欠陥はRCEエクスプロイトチェーンとして利用され、LinuxおよびUnixシステムを侵害のリスクにさらす可能性があります。

潜在的な悪用試行を特定するために、セキュリティ専門家は SOC Primeプラットフォーム を共同サイバー防御のために利用するかもしれません。プラットフォームは、洗練された検出ルールと、先進的な脅威ハンティング、自動化された脅威ハンティング、AI駆動の検出エンジニアリング向けの革新的なソリューションを提供します。

以下のExplore Detectionsボタンをクリックして、CUPSの脆弱性を悪用するためのSigmaルールのコレクションをすぐに掘り下げてください。これらのルールは、30を超えるSIEM、EDR、およびData Lakeフォーマットと互換性があり、 MITRE ATT&CKにマッピングされています。さらに、検出は攻撃タイムライン、CTIリンク、実行可能バイナリ、トリアージ推奨事項などの広範なメタデータで豊かにされています。

検出を調べる

CVE悪用試行を扱う検出コンテンツをさらに探求しようとするセキュリティ研究者は、「Threat Detection Marketplace」をCVEタグで閲覧することで、CTI豊富なルールの包括的コレクションにアクセスできるかもしれません。 “CVE” タグ。

CUPSエクスプロイトチェーン攻撃分析

最近の開示 では、CUPSにおける新たな一連の重大な欠陥が明らかになり、攻撃者に特定の状況下で権限を与えることになりました。影響を受けるシステムには、ほとんどのGNU/Linuxディストリビューション、BSD、ChromeOS、およびSolarisが含まれ、これらの多くにはcups-browsedサービスがデフォルトで有効になっています。 RCE 特定の状況下で実行する権限を与えます。影響を受けるシステムには、ほとんどのGNU/Linuxディストリビューション、BSD、ChromeOS、およびSolarisが含まれており、これらの多くはデフォルトでcups-browsedサービスが有効になっています。

RCE攻撃は、異なるCUPSコンポーネントで複数の脆弱性（CVE-2024-47176、CVE-2024-47076、CVE-2024-47175、およびCVE-2024-47177）を悪用することによって促進されます。これには cups-browsed, libppd, libcupsfilters, と cups-filters が含まれます。 具体的には、認証されていないリモート攻撃者は、Linuxシステムでネットワークに公開されているCUPSを実行している環境で、偽の悪意のあるプリンターを作成するエクスプロイトチェーンを作成する可能性があり、印刷ジョブが送信されるとRCEが発生する可能性があります。CUPSの広範囲にわたる使用とリモートの悪用の可能性を考慮すると、影響を受ける製品に依存する組織にとってこれは深刻なリスクをもたらします。現在、Shodanレポートでは 75K以上のCUPSサービス がインターネット上で公開されているとされ、もっとも多くのインスタンスが公開されている地域は韓国、米国、香港、ドイツ、中国です。

Varonisの研究者によると、 CUPSバージョン2.0.1までがエクスプロイトチェーンに対して脆弱であることが示されています。攻撃が成功するには、CUPSサービスが稼働しており、攻撃者がUDPを介してアクティブなCUPSポートにアクセスできる必要があります。ファイアウォールは外部の脅威をブロックできますが、内部システムは依然として曝露されています。 Rapid7の研究者 は、影響を受けるシステムが、パブリックインターネットまたはネットワークセグメント内でのみ、UDPポート631が開いていて脆弱なサービスがアクティブである場合に悪用される可能性があると述べています。

公式な脆弱性の開示前に、いくつかのPoCエクスプロイトがオンラインで流布されました。2つの例がGitHubに投稿されましたが、その両方に構文エラーが含まれており、簡単に修正可能でした。 Datadog セキュリティ研究チーム は、発表された3番目のPoCがより信頼性があると判明したが、攻撃者と被害者が同じローカルネットワーク上にいる必要がありました。

Elastic Security Labs はRCE脆弱性チェーンの影響を示すために2つの攻撃シナリオを試みました：1つはliving-off-the-land技術を利用したリバースシェル用のペイロードを含むもので、もう1つはリモートペイロードを取得し実行するためのものでした。悪用試行が成功すると、攻撃者はシステムを制御して任意のコマンドを実行できるようになり、データ窃盗、ランサムウェアの展開、またはWANを介してプリンターにリンクされているシステムにおける他の攻撃活動を引き起こす可能性があります。

脆弱性のパッチは現在提供されているところですが、ベンダーはリスクを最小限に抑えるための セキュリティアドバイザリ をリリースしました。 Evilsocketは、CUPSエクスプロイトチェーンによる脅威を緩和するために、cups-browsedサービスを無効化または削除し、CUPSパッケージを更新し、UDPポート631とDNS-SDへのすべてのトラフィックをブロックすることを推奨しています。 mitigating the threat posed by the CUPS exploit chain by disabling or removing the cups-browsed service, updating the CUPS package, and blocking all traffic to UDP port 631 and DNS-SD.

新たに発見されたCUPSの脆弱性が現実の悪用リスクをもたらすことから、組織は重大なセキュリティ脆弱性を武器にした攻撃を積極的に阻止するための将来を見据えたソリューションを模索しています。 SOC Primeの完全な製品スイートは、 for AI駆動の検出エンジニアリング、自動化された脅威ハンティング、および高度な検出エンジニアリングは、セキュリティチームに強固なサイバーセキュリティ態勢を構築するための最新鋭のツールキットを提供します。