CUPS 익스플로잇 탐지: Linux와 Unix 시스템의 원격 코드 실행을 허용하는 치명적인 보안 취약점
목차:
또 다른 하루, 또 다른 사이버 수비수를 위한 도전입니다. 최근 연구원들은 리눅스 환경에서 널리 사용되는 인쇄 서비스인 OpenPrinting Common Unix Printing System (CUPS)에서 일련의 중요한 보안 결함을 밝혀냈습니다. 이러한 취약점은 악용될 경우 공격자가 원격에서 임의의 코드를 실행할 수 있게 하여 영향을 받은 시스템에 대한 제어권을 가질 수 있습니다. 이 발견은 CUPS가 많은 인쇄 및 문서 처리 워크플로의 핵심 구성 요소인 만큼 개인 및 기업 리눅스 설정 모두에 상당한 위협을 가하고 있음을 강조합니다.
CUPS 원격 코드 실행(RCE) 탐지
2023년에는 30,000개 이상의 새로운 취약점이 발견되었습니다. 2024년까지 이 수치는 극적으로 39% 증가하여 사이버 보안 조치로서 능동적인 취약점 탐지의 중요성이 커지고 있음을 보여줍니다. 현재 주목받고 있는 가장 중대한 문제는 CUPS에 영향을 미치는 일련의 결함입니다 (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177). 악용될 경우, 이러한 결함은 리눅스 및 유닉스 시스템을 위험에 노출시키는 RCE 취약점 체인으로 이용될 수 있습니다.
잠재적인 악용 시도를 식별하기 위해 사이버 보안 전문가들은 SOC Prime 플랫폼 을(를) 집단적 사이버 방어에 사용할 수 있습니다. 이 플랫폼은 고급 위협 사냥, 자동화된 위협 사냥, AI 기반 탐지 엔지니어링을 위한 혁신적인 솔루션과 함께 큐레이션된 탐지 규칙 세트를 제공합니다.
아래의 탐지 탐색 버튼을 클릭하여 CUPS 취약점 악용을 다루는 시그마 규칙 모음으로 즉시 드릴다운 해보세요. 이 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 형식과 호환되며 MITRE ATT&CK에 매핑됩니다. 추가적으로, 탐지는 공격 타임라인, CTI 링크, 실행 가능한 바이너리, 트리아지 권장 사항 등을 포함한 풍부한 메타데이터로 보강되었습니다.
CVE 악용 시도에 대한 더 많은 탐지 내용을 찾는 보안 연구원들은 “CVE” 태그를 사용하여 위협 탐지 마켓플레이스를 탐색하여 CTI로 강화된 규칙의 포괄적인 모음에 접근할 수 있습니다.
CUPS 익스플로잇 체인 공격 분석
최근 공개는 CUPS에 새로운 일련의 중대한 결함이 있음을 밝혀내어 공격자가 특정 상황에서 수행할 수 있는 허가를 받았습니다. 영향받은 시스템에는 대부분의 GNU/Linux 배포판, BSD, ChromeOS 및 Solaris가 포함되며, 이들 중 다수는 cups-browsed 서비스가 기본적으로 활성화되어 있습니다. has revealed a new set of critical flaws in CUPS, giving attackers the green light to perform RCE under specific circumstances. Among the impacted systems are most GNU/Linux distributions, BSDs, ChromeOS, and Solaris, with many of them having the cups-browsed service enabled by default.
RCE 공격은 다양한 CUPS 구성 요소(cups-browsed, libppd, libcupsfilters, libcupsfilters)를 통해 CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 및 CVE-2024-47177) 등 다중 취약점을 악용하여 가능해집니다. cups-browsed, libppd, libcupsfilters, libcupsfilters 포함 보다 구체적으로, 인증되지 않은 원격 공격자가 네트워크에 노출된 CUPS가 실행 중인 리눅스 시스템에서 가짜, 악의적인 프린터를 생성하는 익스플로잇 체인을 생성할 수 있으며, 프린트 작업이 전송될 시 RCE가 발생할 수 있습니다. CUPS의 광범위한 사용과 원격 악용 가능성을 고려할 때, 이는 영향을 받는 제품에 의존하는 조직에 심각한 위협이 됩니다. 현재, Shodan 보고서는 7만 5천 개의 CUPS 서비스가 인터넷에서 공개적으로 접근 가능하며, 노출된 인스턴스의 수가 가장 많은 다섯 지역은 한국, 미국, 홍콩, 독일 및 중국이라고 보고합니다.
Varonis 연구원들은 CUPS 버전 2.0.1까지가 익스플로잇 체인에 취약하다고 지적합니다. 공격이 성공하려면 CUPS 서비스가 실행 중이어야 하며, 공격자는 UDP를 통해 활성 CUPS 포트에 접근할 수 있어야 합니다. 방화벽은 외부 위협을 차단할 수 있지만 내부 시스템은 여전히 노출됩니다. Rapid7 연구원들은 영향받은 시스템은 공용 인터넷 또는 네트워크 세그먼트 내에서 UDP 포트 631이 열려 있고 취약한 서비스가 활성화된 경우에만 악용될 수 있음을 언급했습니다.
공식적인 취약점 공개 이전에 여러 PoC 악용 사례가 온라인에 유포되었습니다. 두 가지 예시는 GitHub에 게시되었지만, 둘 다 쉽게 수정할 수 있는 구문 오류를 포함하고 있었습니다. Datadog 보안 연구팀은 세 번째로 공개된 PoC가 더 신뢰할 수 있어 보았지만, 이는 공격자와 피해자가 동일한 로컬 네트워크에 있어야 한다는 조건이 있었습니다.
Elastic 보안 연구소는 RCE 취약점 체인의 효과를 설명하기 위해 두 가지 공격 시나리오를 시도했습니다: 하나는 living-off-the-land 기술을 이용한 역셸 페이로드를 포함하고 있으며, 다른 하나는 원격 페이로드를 검색하고 실행하는 것입니다. 성공적인 악용 시도 이후 적대자는 시스템을 제어하여 임의의 명령을 실행할 수 있으며, 이는 데이터 도난, 랜섬웨어 배포, WAN을 통해 연결된 프린터에서의 기타 공격적 활동으로 이어질 수 있습니다.
취약점에 대한 패치가 곧 제공될 예정이며, 공급업체는 보안 권고문 을(를) 발표하여 취약점 악용의 위험을 최소화하고자 합니다. Evilsocket은 CUPS 익스플로잇 체인에 의해 제기되는 위협을 완화하기 위해 cups-browsed 서비스를 비활성화하거나 제거하고, CUPS 패키지를 업데이트하며, UDP 포트 631과 DNS-SD에 대한 모든 트래픽을 차단할 것을 권장합니다. mitigating the threat posed by the CUPS exploit chain by disabling or removing the cups-browsed service, updating the CUPS package, and blocking all traffic to UDP port 631 and DNS-SD.
새로 발견된 CUPS 취약점으로 실제 악용 위험이 제기되면서 조직은 중요한 보안 결함을 무기화하여 공격을 방어하기 위한 미래지향적 솔루션을 찾고 있습니다. SOC Prime의 전체 제품군 for AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 탐지 엔지니어링은 보안 팀에게 견고한 사이버보안 태세를 구축하기 위한 최첨단 도구를 제공합니다.