Kundenhinweis: Neue Sicherheitslücke zur Remote-Codeausführung in der Druckfunktion (‘CUPS’), die häufig auf Linux- und ähnlichen Systemen zu finden ist 

Aktualisiert 27. September um 5:01 AM ET

Übersicht 

Im Drucksystem OpenPrinting CUPS, das in Linux- und Unix-basierten Umgebungen weit verbreitet ist, wurde eine neue Schwachstelle für die entfernte Codeausführung (RCE) entdeckt. Angreifer könnten diese Schwachstelle möglicherweise über den UDP-Port 631 ausnutzen und so beliebige Befehle auf verwundbaren Systemen ausführen. 
 
Um diese Schwachstelle auszunutzen, müsste ein Angreifer vom lokalen Netz aus auf das anfällige System zugreifen oder über eine ‘NAT’-Regel der Firewall vom Internet aus darauf zugreifen. Im Gegenzug muss das anfällige System die Erlaubnis erhalten, ein (vom Angreifer kontrolliertes) Gerät zu kontaktieren, das einen bösartigen Druckertreiber hostet. Das Exploit demonstriert eine neuartige Entdeckung und Verkettung von Schwachstellen, um sich Zugang zum System zu verschaffen, aber die praktische Anwendbarkeit ist gering. 

Obwohl Apple-Systeme eine verwandte Version von OpenPrinting CUPS, genannt Apple CUPS, verwenden, wird nicht angenommen, dass diese diese Sicherheitslücke aufweist. 

Technische Details 

Das Problem entsteht durch die unsachgemäße Behandlung von Meldungen über ‘Neue Drucker verfügbar’ in der Komponente ‘cups-browsed’ in Verbindung mit einer mangelhaften Validierung der von einer bösartigen Druckressource bereitgestellten Informationen durch ‘cups’. Die Schwachstelle ist auf eine unzureichende Validierung von Netzwerkdaten zurückzuführen, die es Angreifern ermöglicht, das anfällige System dazu zu bringen, einen bösartigen Druckertreiber zu installieren und dann einen Druckauftrag an diesen Treiber zu senden, der die Ausführung des bösartigen Codes auslöst. Der bösartige Code wird mit den Rechten des lp-Benutzers ausgeführt - nicht mit denen des Superusers ‘root’. 

Der Benutzer ‘lp’ verwaltet in der Regel alle Druckdienste auf einem System und hat Zugriff auf wichtige Systemressourcen, die für Druckvorgänge erforderlich sind. Obwohl das lp-Konto kein Root-Konto ist, können Angreifer ihren Zugang als "lp" nutzen, um sich Zugriff auf höhere Ebenen zu verschaffen oder andere Teile des Netzwerks zu infiltrieren. 

Das Risiko einer Fernausnutzung wird durch die Tatsache erhöht, dass auf vielen Geräten, Servern und Desktop-Umgebungen standardmäßig Cups installiert sind, selbst auf IOT-Geräten wie NAS-Servern oder VOIP-Servern. 

Sobald ein Angreifer diese Schwachstelle ausnutzt - was bei automatisierten Scans des gesamten Internets oder von kompromittierten Geräten innerhalb der privaten Netzwerk-Enklave der Fall sein dürfte -, installiert er wahrscheinlich einen Fernzugriffstrojaner, um den Zugang zu erhalten, auch nachdem das Gerät gepatcht oder die Schwachstelle anderweitig entschärft wurde. Die Ausweitung der Zugriffsrechte über andere Schwachstellen wird dann häufig durchgeführt, um Root-Zugriff zu erlangen - ein notwendiger Schritt, um das gesamte System und seine Informationen zu untersuchen. 

Abhilfemaßnahmen: 

Die Schwachstelle liegt in der unsachgemäßen Überprüfung von Eingaben bei der Verwaltung von Druckern und Druckanforderungen über das Netzwerk. Der Fix behebt dies, indem er sicherstellt, dass Eingaben vor der Verarbeitung ordnungsgemäß bereinigt und validiert werden. Durch die Einschränkung der Akzeptanz neuer Drucker und neuer Druckertreiberdateien verhindert der Fix die Ausführung von beliebigem Code durch einen Angreifer. 

Insbesondere das Hinzufügen der Konfigurationsanweisung: “BrowseDeny All” zur Konfigurationsdatei /etc/cups/cups-browsed.conf hilft, die entfernte Druckererkennung zu deaktivieren, den ursprünglichen Angriffsvektor für diese Sicherheitslücke.  Für Umgebungen, in denen nicht gedruckt werden muss, ist die vollständige Deaktivierung von CUPS eine sicherere Option. 

Dringlichkeit und Verfügbarkeit von Exploits 

Da ein Angreifer ungefilterten Zugriff auf den UDP-Port 631 des anfälligen Geräts haben müsste, besteht nach unserer Einschätzung nur in Umgebungen mit übermäßig vielseitigen Firewall-Konfigurationen oder bei mobilen Geräten (nur Laptops - Android-Geräte sind nicht geeignet) die Möglichkeit eines Missbrauchs. nicht OpenPrinting CUPS verwenden), die mit gemeinsamen WIFI-Netzwerken verbunden sind. Dies ist unüblich und verstößt gegen bewährte Verfahren, bei denen lokale und Netzwerk-Firewalls verwendet werden sollten, um standardmäßig alle anderen als die notwendigen Kommunikationen zu blockieren. 

Ein Exploit für diese Schwachstelle wurde öffentlich bekannt gegeben und könnte leicht angepasst werden, um bösartige Software, wie z. B. Remote Access Tools (RATs), auf kompromittierten Systemen zu installieren. 

Schritte zur Schadensbegrenzung:

• Identifizieren Sie anfällige Systeme: Stellen Sie sicher, dass alle Systeme, die mit Cups betrieben werden oder mit Druckern verbunden sind, überprüft werden, einschließlich Netzwerkgeräte wie NAS- oder VOIP-Server.
• Unverzüglich flicken: Installieren Sie die relevanten Patches und Sicherheitsupdates für CUPS. 
• CUPS deaktivieren, wenn es nicht benötigt wird: Für Systeme, die keine Druckdienste benötigen, deaktivieren Sie CUPS mit den folgenden Befehlen: 
• Netzwerkzugang einschränken: Blockieren Sie den Zugriff auf den UDP-Port 631 auf der Firewall-Ebene, um das Risiko einer Fernausnutzung zu verringern. 
• CUPS-Konfiguration aktualisieren: Für Systeme, die weiterhin CUPS verwenden müssen, ändern Sie /etc/cups/cups-browsed.conf durch Hinzufügen: 
  • DurchsuchenAlle leugnen

IErkennung potenziell gefährdeter Systeme mit Microsoft Defender Advanced Hunting 
 
Um Sicherheitsteams bei der Identifizierung von Systemen zu unterstützen, die möglicherweise von dieser Sicherheitslücke betroffen sind und ausgenutzt werden können, kann die folgende erweiterte Suchabfrage in Microsoft Defender for Endpoint verwendet werden: 
 
DeviceProcessEvents | where TimeGenerated zwischen (ago(90d) .. now() ) | where FileName == @’cups-browsed’ oder InitiatingProcessFileName == @’cups-browsed’ 
 
Diese Abfrage sucht nach Prozessereignissen, bei denen ein Prozess namens “cups-browsed” innerhalb der letzten 90 Tage ausgeführt wurde.  
 
Schlussfolgerung 

Diese Sicherheitslücke ist aufgrund des Potenzials zur Remotecodeausführung und der öffentlichen Verfügbarkeit eines Exploits interessant. Es sollten sofortige Schritte unternommen werden, um anfällige Systeme, die CUPS ausführen müssen, zu patchen, den Netzwerkzugriff zu beschränken und sicherzustellen, dass die CUPS-Konfigurationen gehärtet sind. Angreifer, die die Kontrolle über den lp-Benutzer erlangen, könnten dies als Ausgangspunkt für weitere Angriffe innerhalb des Netzwerks nutzen. Es ist unwahrscheinlich, dass dies ausgenutzt wird, es sei denn, ein Angreifer ist bereits in Ihrem Netzwerk präsent, aber es würde wahrscheinlich als eine Form der Persistenz oder als Drehscheibe in andere Netzwerke verwendet werden, um einen erweiterten Zugang zu erhalten.  

Weitere Einzelheiten über die Schwachstelle und ihre Funktionsweise finden Sie in der vollständigen Offenlegungsbericht. 

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/  
und https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities