Vulnerabilidade no CUPS possibilita amplificação de tráfego em ataques DDoS

A equipe de segurança da Akamai identificou um novo vetor de ataque explorando o processo cups-browsed. Além de já permitir a execução de código malicioso, foi descoberto que o serviço, ao receber solicitações pela porta 631, pode ser usado para amplificar tráfego de rede em até 600 vezes o volume original. Em comparação, outros sistemas como memcached e NTP oferecem um potencial de amplificação de até 50 mil e 556 vezes, respectivamente.

Esse método, que visa ataques de amplificação de tráfego DDoS, utiliza sistemas que rodam o cups-browsed como intermediários. Em vez de direcionar as solicitações diretamente ao alvo, os computadores participantes do ataque enviam suas requisições através desses amplificadores de tráfego, maximizando o impacto. Em uma varredura recente, mais de 198 mil sistemas com CUPS foram encontrados vulneráveis, sendo que 34% (cerca de 58 mil) mostraram-se eficazes para amplificação em ataques DDoS.

Diferentemente de outras formas de amplificação, que necessitam de pacotes UDP com endereços falsificados, o cups-browsed dispensa essa etapa. Ele, por padrão, tenta baixar arquivos PPD de servidores externos quando solicitado, utilizando o valor “IPP URI”, que pode ser modificado para incluir até 989 bytes adicionais. Esse valor é replicado duas vezes na requisição — no cabeçalho HTTP e no corpo do POST — e a tentativa de download é repetida em caso de falha com código 404.