Uma vulnerabilidade crítica foi descoberta (26 de setembro 2024) no sistema de impressão CUPS em distribuições Linux. Essa falha, reportada pelo desenvolvedor Simone Margaritelli, pode permitir que um invasor controle remotamente o dispositivo de uma vítima ao iniciar um trabalho de impressão. Margaritelli revelou a falha após frustração com a resposta dos desenvolvedores do CUPS, e ainda não há correções disponíveis.
A vulnerabilidade afeta a maioria das distribuições Linux, além de BSDs e possivelmente outros sistemas operacionais como o ChromeOS e Solaris. A recomendação inicial é desativar ou remover o serviço cups-browsed, além de bloquear o acesso à porta UDP 631.
Detalhes Técnicos
Margaritelli relatou quatro falhas principais:
- CVE-2024-47176: O cups-browsed confia em qualquer pacote recebido na porta UDP 631, permitindo que dados maliciosos sejam injetados.
- CVE-2024-47076: Falha no libcupsfilters que não valida os atributos recebidos, abrindo portas para dados maliciosos no sistema.
- CVE-2024-47175: Vulnerabilidade no libppd ao não validar corretamente os atributos IPP.
- CVE-2024-47177: O cups-filters executa comandos arbitrários baseados nos dados de um arquivo PPD.
A combinação dessas falhas permite que um invasor envie pacotes para a porta UDP 631 de um dispositivo vulnerável, façam o dispositivo se conectar a um servidor controlado pelo invasor e execute comandos maliciosos quando um trabalho de impressão é iniciado.
Embora os ataques exijam interação do usuário, o risco permanece significativo, e os administradores devem agir para mitigar a vulnerabilidade.
Para mais informações, veja o artigo original em The Register aqui.
ATENÇÃO:
A CameIT recomenda que o serviço CUPS e seus pacotes sejam desinstalados de TODOS os servidores Linux da sua empresa. Caso o serviço seja essencial, utilize medidas para mitigar o risco.
Posts relacionados
