Vulnerabilità gravi nei driver di stampa CUPS di Linux: come mitigarle

vulnerabilità linux
Queste vulnerabilità, se sfruttate, potrebbero potenzialmente consentire l'esecuzione di codice remoto non autenticato su sistemi Linux vulnerabili.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Il ricercatore di sicurezza Simone Margaritelli ha recentemente rivelato diverse vulnerabilità critiche nel sistema di stampa CUPS (Common Unix Printing System), ampiamente utilizzato nelle distribuzioni Linux e in altri sistemi operativi Unix-like. Queste vulnerabilità, se sfruttate, potrebbero potenzialmente consentire l’esecuzione di codice remoto non autenticato su sistemi vulnerabili.

Le principali vulnerabilità identificate sono:

  • CVE-2024-47176 in cups-browsed (fino alla versione 2.0.1): Accetta pacchetti non autenticati sulla porta UDP 631
  • CVE-2024-47076 in libcupsfilters (fino alla versione 2.1b1): Mancata validazione degli attributi IPP
  • CVE-2024-47175 in libppd: Insufficiente validazione degli attributi IPP durante la scrittura dei file PPD temporanei
  • CVE-2024-47177 in cups-filters (fino alla versione 2.0.1): Esecuzione di comandi arbitrari dai dati nei file PPD

Un attaccante potrebbe sfruttare queste vulnerabilità inviando un pacchetto alla porta UDP 631 di un sistema vulnerabile, facendo sì che il sistema contatti un server controllato dall’attaccante. Questo server potrebbe quindi inviare un payload di comandi malevoli al sistema target, che verrebbero scritti in un file PPD temporaneo. Quando l’utente avvia un lavoro di stampa, questi comandi verrebbero eseguiti.

google spyware

I sistemi potenzialmente interessati sono la maggior parte delle distribuzioni Linux, alcuni sistemi BSD, potenzialmente Google ChromeOS e Oracle Solaris e altri sistemi che utilizzano CUPS. Le misure di sicurezza consigliate da Margaritelli consistono nel:

  • Disabilitare o rimuovere il servizio cups-browsed
  • Aggiornare l’installazione di CUPS non appena saranno disponibili patch di sicurezza
  • Bloccare l’accesso alla porta UDP 631 e considerare il blocco di DNS-SD
  • Se possibile, rimuovere CUPS dai sistemi che non necessitano di funzionalità di stampa

Inizialmente, un ingegnere di Red Hat aveva valutato almeno una delle vulnerabilità con un punteggio CVSS di 9,9 su 10. Tuttavia, Margaritelli ritiene che questa valutazione sia eccessiva, considerando la necessità di interazione da parte dell’utente per l’expoit.

Benjamin Harris, CEO di watchTowr, ha inoltre sottolineato l’importanza per le organizzazioni di determinare rapidamente la propria esposizione a queste vulnerabilità, sebbene faccia notare che interessano meno dell’1% di tutti i sistemi Linux esposti su Internet. Tuttavia, è fondamentale che gli amministratori di sistema prendano precauzioni immediate, disabilitando o aggiornando i componenti vulnerabili e monitorando attentamente eventuali attività sospette.

LinuxmitigazioneVulnerabilità
// Data pubblicazione: 27.09.2024
Condividi:
 

Splinter, il tool di attacco scoperto da Palo Alto, è la nuova arma da temere

malware android
Scoperto da Palo Alto Networks, Splinter è un malware sofisticato si sta diffondendo nei sistemi di diverse organizzazioni, dimostrando capacità a dir poco allarmanti.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Un nuovo strumento di post-exploitation chiamato Splinter sta emergendo come una seria minaccia per gli ambienti IT aziendali. Secondo le recenti scoperte dei ricercatori di sicurezza di Unit 42 di Palo Alto Networks, questo malware sofisticato si sta infatti diffondendo nei sistemi di diverse organizzazioni, dimostrando capacità a dir poco allarmanti.

Splinter, sviluppato in Rust, si distingue per la sua versatilità nell’esecuzione di attività malevole post-intrusione. Tra le sue funzionalità più preoccupanti figurano l’esecuzione di comandi Windows, il furto di file, la raccolta di informazioni sugli account dei servizi cloud e la capacità di scaricare ulteriore malware sui sistemi compromessi. Ciò che rende Splinter particolarmente insidioso è la sua abilità di autoeliminarsi dopo aver compiuto le sue azioni, rendendo più difficile la sua individuazione e analisi.

Sebbene Splinter non raggiunga la sofisticazione di strumenti di post-exploitation più noti come Cobalt Strike, secondo gli esperti di Palo Alto Networks rappresenta comunque una minaccia significativa se utilizzato impropriamente. È importante notare che, a differenza di Cobalt Strike (uno strumento legittimo per il red-teaming spesso abusato da attori malevoli), l’origine e lo scopo originale di Splinter rimangono incerti.

Iniezione di processi remoti per eseguire payload aggiuntivi.

Iniezione di processi remoti per eseguire payload aggiuntivi.

Una caratteristica distintiva di Splinter è la sua dimensione eccezionalmente grande per un malware scritto in Rust, con campioni che raggiungono circa 7 MB a causa dell’uso estensivo di librerie esterne. Il malware utilizza inoltre un formato JSON per i suoi dati di configurazione, che includono dettagli cruciali come l’ID dell’impianto, l’ID dell’endpoint bersaglio e le informazioni sul server di comando e controllo (C2).

Una volta eseguito, Splinter stabilisce una connessione HTTPS con il server C2 utilizzando credenziali di login e inizia a eseguire i comandi dell’attaccante. Le sue capacità spaziano dall’esecuzione di comandi Windows all’iniezione di processi remoti, dal trasferimento di file alla raccolta di informazioni da account di servizi cloud.

Gli esperti di Palo Alto Networks consigliano di monitorare attentamente i sistemi per eventuali indicatori di compromissione associati a Splinter, inclusi gli hash dei campioni e i percorsi URL utilizzati per la comunicazione con il server C2.

cybersecurityMalwaretool di attacco
// Data pubblicazione: 23.09.2024
Condividi: