Detectando Explorações CUPS: Vulnerabilidades Críticas de Segurança em Sistemas Linux e Unix Permitem Execução Remota de Código
Índice:
Outro dia, outro desafio para os defensores cibernéticos. Recentemente, pesquisadores revelaram uma série de lacunas críticas de segurança no OpenPrinting Common Unix Printing System (CUPS), um serviço de impressão amplamente utilizado em ambientes Linux. Essas vulnerabilidades, se exploradas, poderiam permitir que atacantes executassem código arbitrário remotamente, potencialmente lhes dando controle sobre sistemas afetados. A descoberta destaca uma ameaça significativa para configurações Linux pessoais e empresariais, já que o CUPS é um componente central de muitos fluxos de trabalho de impressão e manuseio de documentos.
Detecção de Exploits RCE em CUPS
Em 2023, mais de 30.000 novas vulnerabilidades foram detectadas. Em 2024, esse número viu um dramático aumento de 39%, destacando a crescente importância da detecção proativa de vulnerabilidades como medida de cibersegurança. As últimas questões críticas no centro das atenções são um conjunto de falhas que afetam o CUPS (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177). Caso exploradas, as falhas podem ser aproveitadas como uma cadeia de exploits RCE, expondo sistemas Linux e Unix ao risco de comprometimento.
Para identificar possíveis tentativas de exploração, profissionais de segurança podem contar com a SOC Prime Platform para defesa cibernética coletiva. A Plataforma oferece um conjunto de regras de detecção curadas acompanhadas por soluções inovadoras para caça avançada de ameaças, caça de ameaças automatizada e engenharia de detecção movida por IA.
Clique no botão Explorar Detecções abaixo e imediatamente aprofunde-se em uma coleção de regras Sigma que abordam a exploração de vulnerabilidades do CUPS. As regras são compatíveis com mais de 30 formatos de SIEM, EDR e Data Lake e estão mapeadas para MITRE ATT&CK. Além disso, as detecções são enriquecidas com metadados extensos, incluindo linhas do tempo de ataques, links de CTI, binários executáveis, recomendações de triagem e mais.
Pesquisadores de segurança que procuram mais conteúdo de detecção que aborda tentativas de exploração de CVE podem acessar a coleção abrangente de regras enriquecidas por CTI navegando no Threat Detection Marketplace com a tag “CVE” .
Análise de Ataque de Cadeia de Exploit CUPS
Uma divulgação recente revelou um novo conjunto de falhas críticas no CUPS, dando aos atacantes o sinal verde para executar RCE sob circunstâncias específicas. Entre os sistemas impactados estão a maioria das distribuições GNU/Linux, BSDs, ChromeOS e Solaris, muitos deles com o serviço cups-browsed habilitado por padrão.
O ataque RCE é facilitado pela exploração de múltiplas vulnerabilidades (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 e CVE-2024-47177) em diferentes componentes do CUPS, incluindo cups-browsed, libppd, libcupsfilters e cups-filters. Mais especificamente, um atacante remoto não autenticado poderia potencialmente criar uma cadeia de exploits para criar uma impressora falsa e maliciosa em um sistema Linux em execução com CUPS exposto à rede, levando a RCE quando um trabalho de impressão é enviado. Dado o uso extensivo do CUPS e o potencial para exploração remota, isso representa um risco sério para organizações que dependem dos produtos afetados. Atualmente, o Relatório Shodan revela que mais de 75 mil serviços CUPS estão publicamente acessíveis na internet, com as cinco regiões com o maior número de instâncias expostas sendo Coreia do Sul, EUA, Hong Kong, Alemanha e China.
Pesquisadores da Varonis indicam que versões do CUPS até e incluindo 2.0.1 são vulneráveis à cadeia de exploits. Para que um ataque tenha sucesso, o serviço CUPS deve estar em execução e os atacantes precisam de acesso à porta CUPS ativa via UDP. Enquanto firewalls podem bloquear ameaças externas, sistemas internos permanecem expostos. Pesquisadores da Rapid7 observaram que sistemas impactados podem ser explorados da internet pública ou dentro de segmentos de rede apenas se a porta UDP 631 estiver aberta e o serviço vulnerável ativo.
Antes da divulgação oficial da vulnerabilidade, vários exploits PoC circularam online. Dois exemplos foram postados no GitHub, mas ambos continham erros de sintaxe que poderiam ser facilmente corrigidos. A equipe de Pesquisa de Segurança da Datadog descobriu que o terceiro PoC lançado parecia ser mais confiável, embora exigisse que o atacante e a vítima estivessem na mesma rede local.
Laboratórios de Segurança da Elastic tentaram dois cenários de ataque para ilustrar os efeitos da cadeia de vulnerabilidades RCE: um envolvendo um payload para um shell reverso utilizando técnicas de living-off-the-land, e outro para recuperar e executar um payload remoto. Após tentativas bem-sucedidas de exploração, adversários podem tomar controle do sistema para executar comandos arbitrários, o que pode levar a roubo de dados, implantação de ransomware ou outras atividades ofensivas, principalmente em sistemas ligados a impressoras por uma WAN.
Enquanto atualizações para as vulnerabilidades estão a caminho, o fornecedor lançou o aviso de segurança para minimizar os riscos de exploração de vulnerabilidades. Evilsocket recomenda mitigar a ameaça imposta pela cadeia de exploits do CUPS desabilitando ou removendo o serviço cups-browsed, atualizando o pacote CUPS e bloqueando todo o tráfego para a porta UDP 631 e DNS-SD.
Com as novas vulnerabilidades do CUPS descobertas representando um risco real de exploração, as organizações estão buscando soluções à prova de futuro para prevenir de forma proativa ataques que usam falhas críticas de segurança. O portfólio completo de produtos do SOC Prime for engenharia de detecção movida por IA, caça de ameaças automatizada e engenharia de detecção avançada equipa equipes de segurança com um kit de ferramentas de ponta para construir uma postura robusta de cibersegurança.