Profissionais de segurança agora contam com um scanner automatizado, lançador para ajudar a escanear ambientes em busca de dispositivos vulneráveis à falha RCE do Common Unix Printing System (CUPS), rastreada como CVE-2024-47176. Sim, os servidores Linux e UNIX continuam expostos a ataques CUPS RCE e esse scanner pode ajudar muito.
Servidores Linux e os ataques CUPS
A falha, que permite que invasores executem código remoto arbitrário se certas condições forem atendidas, foi divulgada no final do mês passado pela pessoa que a descobriu, Simone Margaritelli. Embora seu aspecto RCE pareça limitado em implantações no mundo real devido aos pré-requisitos para exploração, a Akamai mostrou posteriormente que o CVE-2024-47176 também abriu a possibilidade de amplificação de 600x em ataques distribuídos de negação de serviço (DDoS).
O scanner foi criado pelo pesquisador de segurança cibernética Marcus Hitchins (também conhecido como “MalwareTech”), que criou o scanner para ajudar administradores de sistemas a escanear suas redes e identificar rapidamente dispositivos executando serviços vulneráveis ??do CUPS-Browsed.
A vulnerabilidade surge do fato de que cups-browsed vincula sua porta de controle (porta UDP 631) a INADDR_ANY, expondo-a ao mundo. Como as solicitações não são autenticadas, qualquer um capaz de alcançar a porta de controle pode instruir cups-browsed a executar printer discovered.
Nos casos em que a porta não pode ser acessada pela internet (devido a firewalls ou NAT), ela ainda pode ser acessada pela rede local, permitindo escalonamento de privilégios e movimentação lateral.
Por esse motivo, criei este scanner projetado para escanear sua rede local em busca de instâncias vulneráveis do cups-browsed.
Marcus Hitchins
Como funciona o scanner
O script Python (cups_scanner.py) configura um servidor HTTP na máquina de digitalização que escuta solicitações HTTP recebidas (retornos de chamada) de dispositivos na rede. O CVE-2024-47176 surge quando o CUPS-browsed (um daemon do CUPS) vincula sua porta de controle (porta UDP 631) ao INADDR_ANY, expondo a porta à rede e permitindo que qualquer sistema envie comandos a ela.
O scanner envia um pacote UDP personalizado para o endereço de transmissão da rede na porta 631, enviado para cada endereço IP no intervalo especificado, informando às instâncias do CUPS para enviar uma solicitação de volta. Se um dispositivo executando uma instância vulnerável do cups-browsed receber o pacote UDP, ele interpretará a solicitação e enviará um retorno de chamada HTTP ao servidor, de modo que somente aqueles que responderem serão marcados como vulneráveis.
Os resultados são gravados em dois logs: um (cups.log) contendo os endereços IP e a versão CUPS dos dispositivos que responderam e um (requests.log) contendo as solicitações HTTP brutas recebidas pelo servidor de retorno de chamada que podem ser usadas para análises mais profundas.
Ao usar este scanner, os administradores de sistema podem planejar e executar ações de correção ou reconfiguração direcionadas, minimizando a exposição do CVE-2024-47176 online.
Via: Bleeping Computer