Fecha de publicación: Vie, 27/09/2024 - 09:52

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Una serie de vulnerabilidades en el sistema CUPS (Common UNIX Printing System) han sido identificadas, permitiendo que un atacante remoto no autenticado ejecute comandos arbitrarios en sistemas UNIX. Estas vulnerabilidades, que afectan diversas versiones de CUPS y libcupsfilters, se explotan a través del protocolo IPP y pueden resultar en la sustitución de URLs de impresoras legítimas por maliciosas, desencadenando una ejecución de código al iniciar un trabajo de impresión. Son identificados como CVE-2024-47176 con criticidad de 8.30, CVE-2024-47076 con criticidad de 8.60, CVE-2024-47175 con criticidad de 8.60 y CVE-2024-47177 con criticidad de 9.0.  La exposición se da tanto en entornos WAN, donde un atacante puede enviar paquetes UDP al puerto 631, como en LAN, donde puede aprovechar falsificaciones de anuncios zeroconf

Recursos afectados

Los atacantes pueden reemplazar silenciosamente configuraciones de impresoras y ejecutar código arbitrario en las máquinas comprometidas, afectando así la seguridad de los sistemas operativos UNIX, incluyendo diversas distribuciones GNU/Linux y otros sistemas operativos basados en UNIX.

  • La mayoría de distribuciones GNU/Linux
  • Algunos sistemas BSD
  • Google Chromium / ChromeOS
  • Oracle Solaris
  • Entre otros

Solución/Mitigación

  • Deshabilitar el servicio cups-browsed: Si no es necesario en su entorno, deshabilitar y eliminar este servicio es una medida preventiva clave. La mayoría de los usuarios no requieren este servicio activo.

  • Actualizar CUPS y bibliotecas relacionadas: Verifique que las versiones instaladas en sus sistemas sean las más recientes. Los parches de seguridad corregidos deben ser aplicados lo antes posible.

  • Filtrar el tráfico en el puerto UDP 631: Si no se puede deshabilitar el servicio, se recomienda bloquear el tráfico no autorizado en este puerto para impedir ataques remotos. En sistemas que dependen de zeroconf, se debe también bloquear todo el tráfico DNS-SD.

Recomendaciones

  • Mantener actualizado o dejar la dependencia de cups-browsed , se debe relizar una constante verificacion sobre las actualizaciones para estar sieempre con la ultima version de CUPS

  • Eliminar oyentes de zeroconf / avahi / bonjour: Para evitar posibles vectores de ataque, se sugiere deshabilitar cualquier servicio que utilice zeroconf, especialmente en entornos donde no se necesite detección automática de dispositivos.

  • Monitorear el tráfico de red en busca de conexiones sospechosas: Implementar soluciones de monitoreo y detección de intrusiones que alerten sobre conexiones inusuales o intentos de manipular configuraciones de impresoras.

  • Considerar alternativas para la gestión de impresiones en UNIX: En entornos altamente sensibles, podría ser recomendable eliminar la dependencia de CUPS por completo, evaluando otras soluciones más seguras.

Referencias