Uma grave falha de segurança foi descoberta no sistema de impressão CUPS, amplamente utilizado em distribuições Linux e outras plataformas. Classificada com um CVSS de 9.9, a vulnerabilidade permite a execução remota de código (RCE) sem autenticação. Esse problema afeta sistemas Linux, BSD, Oracle Solaris, Chrome OS e outros, com o potencial de ser explorado por meio de pacotes UDP enviados para a porta 631, caso essa esteja aberta.
O pesquisador Simone Margaritelli identificou a falha, que pode ser explorada para substituir URLs de impressoras IPP por maliciosas, resultando na execução de comandos arbitrários quando um trabalho de impressão é iniciado. Entre os identificadores CVE associados a essa vulnerabilidade estão CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 e CVE-2024-47177. Além disso, outros bugs relacionados podem ser explorados em conjunto.
Impacto e mitigação
Essa vulnerabilidade pode ser explorada remotamente via Internet pública ou por ataques em redes locais através da falsificação de anúncios zeroconf/mDNS/DNS-SD. A falha afeta o CUPS, que é utilizado não apenas em sistemas Linux, mas também em outras plataformas, como o Chrome OS e Oracle Solaris.
Embora ainda não haja um patch disponível para corrigir o problema, os usuários são aconselhados a desabilitar e remover o serviço “cups-browsed” como uma medida de mitigação temporária. A Red Hat, por exemplo, já emitiu orientações para seus clientes, recomendando a desativação desse serviço e explicando que, em sua configuração padrão, os sistemas não estão vulneráveis.
Além disso, é importante verificar se o serviço “cups-browsed” está ativo com o comando:
sudo systemctl status cups-browsed
Caso o serviço esteja ativo, deve ser interrompido e desativado com os seguintes comandos:
sudo systemctl stop cups-browsed && sudo systemctl disable cups-browsed
A comunidade Linux e a Red Hat já estão trabalhando em patches para resolver o problema.
Reconhecimento e próximos passos
A Red Hat agradece ao pesquisador Simone Margaritelli, também conhecido como “EvilSocket”, pela descoberta e notificação dessas vulnerabilidades. Também agradece a Till Kamppeter, da OpenPrinting, pela coordenação adicional.
Os usuários afetados devem permanecer atentos às atualizações e patches que serão lançados nas próximas semanas para resolver definitivamente essa falha crítica de segurança.