Il ricercatore di sicurezza Simone Margaritelli ha recentemente rivelato diverse vulnerabilità critiche nel sistema di stampa CUPS (Common Unix Printing System), ampiamente utilizzato nelle distribuzioni Linux e in altri sistemi operativi Unix-like. Queste vulnerabilità, se sfruttate, potrebbero potenzialmente consentire l’esecuzione di codice remoto non autenticato su sistemi vulnerabili.

Le principali vulnerabilità identificate sono:

  • CVE-2024-47176 in cups-browsed (fino alla versione 2.0.1): Accetta pacchetti non autenticati sulla porta UDP 631
  • CVE-2024-47076 in libcupsfilters (fino alla versione 2.1b1): Mancata validazione degli attributi IPP
  • CVE-2024-47175 in libppd: Insufficiente validazione degli attributi IPP durante la scrittura dei file PPD temporanei
  • CVE-2024-47177 in cups-filters (fino alla versione 2.0.1): Esecuzione di comandi arbitrari dai dati nei file PPD

Un attaccante potrebbe sfruttare queste vulnerabilità inviando un pacchetto alla porta UDP 631 di un sistema vulnerabile, facendo sì che il sistema contatti un server controllato dall’attaccante. Questo server potrebbe quindi inviare un payload di comandi malevoli al sistema target, che verrebbero scritti in un file PPD temporaneo. Quando l’utente avvia un lavoro di stampa, questi comandi verrebbero eseguiti.

google spyware

I sistemi potenzialmente interessati sono la maggior parte delle distribuzioni Linux, alcuni sistemi BSD, potenzialmente Google ChromeOS e Oracle Solaris e altri sistemi che utilizzano CUPS. Le misure di sicurezza consigliate da Margaritelli consistono nel:

  • Disabilitare o rimuovere il servizio cups-browsed
  • Aggiornare l’installazione di CUPS non appena saranno disponibili patch di sicurezza
  • Bloccare l’accesso alla porta UDP 631 e considerare il blocco di DNS-SD
  • Se possibile, rimuovere CUPS dai sistemi che non necessitano di funzionalità di stampa

Inizialmente, un ingegnere di Red Hat aveva valutato almeno una delle vulnerabilità con un punteggio CVSS di 9,9 su 10. Tuttavia, Margaritelli ritiene che questa valutazione sia eccessiva, considerando la necessità di interazione da parte dell’utente per l’expoit.

Benjamin Harris, CEO di watchTowr, ha inoltre sottolineato l’importanza per le organizzazioni di determinare rapidamente la propria esposizione a queste vulnerabilità, sebbene faccia notare che interessano meno dell’1% di tutti i sistemi Linux esposti su Internet. Tuttavia, è fondamentale che gli amministratori di sistema prendano precauzioni immediate, disabilitando o aggiornando i componenti vulnerabili e monitorando attentamente eventuali attività sospette.