Resposta da Red Hat para vulnerabilidades do OpenPrinting CUPS: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177

26 de setembro de 2024Red Hat2 minutos (tempo de leitura)

Em resumo: todas as versões do Red Hat Enterprise Linux (RHEL) foram afetadas por CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177, mas não são vulneráveis em suas configurações padrão.

A Red Hat ficou ciente de um grupo de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177) no OpenPrinting CUPS, um sistema de impressão open source que é o predominante na maioria das distribuições Linux modernas, incluindo o RHEL. Especificamente, o CUPS oferece ferramentas para gerenciar, descobrir e compartilhar impressoras para distribuições Linux. Ao explorar esse grupo de vulnerabilidades juntas, um invasor poderia potencialmente executar código de forma remota resultando em roubo de dados confidenciais e/ou danos aos sistemas de produção crítica.

A Red Hat classifica esses problemas com um impacto de gravidade "Importante". Todas as versões do RHEL foram afetadas, mas é importante notar que os pacotes impactados não são de configuração padrão. Hoje, existem quatro CVEs atribuídos a essas vulnerabilidades, mas o número exato ainda está sendo definido com a comunidade upstream e o pesquisador que descobriu o problema.

Exploração

A exploração dessas vulnerabilidades é possível devido à cadeia de eventos a seguir:

O serviço cups-browsed foi manualmente habilitado ou iniciado
Um invasor tem acesso ao servidor de vulnerabilidade, que:
1. Permite acesso irrestrito, como a Internet pública ou
2. Ganha acesso a uma rede interna onde as conexões locais são confiáveis
Invasores anunciam um servidor IPP malicioso, provisionando uma impressora maliciosa
Uma vítima em potencial tenta imprimir a partir de um dispositivo malicioso
O invasor executa código arbitrário na máquina da vítima

Detecção

Os clientes Red Hat devem usar o seguinte comando para determinar se o cups-browsed está sendo executado:

$ sudo systemctl status cups-browsed

Se o resultado incluir "Active: inactive (dead)", a cadeia de exploração foi interrompida, então o sistema não está vulnerável

Se o resultado for "running" ou "enabled", e a diretiva "BrowseRemoteProtocols" tiver o valor "cups" no arquivo de configuração /etc/cups/cups-browsed.conf, então o sistema está vulnerável.

Mitigação

A mitigação dessas vulnerabilidades é tão simples quanto executar dois comandos, principalmente nos ambientes onde a impressão não é necessária.

Para interromper a execução do serviço cups-browsed, um administrador deve usar o seguinte comando:

$ sudo  systemctl stop cups-browsed

O serviço do cups-browsed também pode ser impedido de iniciar na reinicialização com:

$ sudo systemctl disable cups-browsed

A Red Hat e a comunidade Linux em geral estão atualmente trabalhando em patches para também resolverem esses problemas.

Reconhecimentos

A Red Hat gostaria de agradecer a Simone “EvilSocket” Margaritelli por descobrir e relatar essas vulnerabilidades e Till Kamppeter (OpenPrinting) por dar suporte de coordenação adicional.

Para mais informações

Leia o boletim de segurança da Red Hat sobre essas vulnerabilidades

Sobre o autor

Red Hat

The world’s leading provider of enterprise open source software solutions

Red Hat is the world’s leading provider of enterprise open source software solutions, using a community-powered approach to deliver reliable and high-performing Linux, hybrid cloud, container, and Kubernetes technologies.

Red Hat helps customers integrate new and existing IT applications, develop cloud-native applications, standardize on our industry-leading operating system, and automate, secure, and manage complex environments. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. As a strategic partner to cloud providers, system integrators, application vendors, customers, and open source communities, Red Hat can help organizations prepare for the digital future.

Read full bio