Une nouvelle vulnérabilité RCE sous Linux est divulguée avant sa divulgation - Permet l'exécution de code arbitraire via le planificateur d'impression CUPS
Une nouvelle vulnérabilité a récemment été découverte dans un serveur d'impression très utilisé, installé par défaut sur de nombreux systèmes Linux et Unix dotés d'une interface utilisateur graphique. Le principal vecteur d'attaque de la vulnérabilité est le planificateur d'impression CUPS (Common Unit Printing System), en particulier cups-browsed, qui a le potentiel d'exécuter du code à distance sans aucune interaction de l'utilisateur.
Selon certaines informations, RHEL et Canonical ont attribué à cette vulnérabilité un score CVSS de 9,9. Ce score est toutefois vivement débattu. Certains estiment qu'il devrait être inférieur, car même si le code peut être téléchargé à distance sur le système, il ne peut pas être exécuté sans intervention de l'utilisateur. Heureusement, rien ne prouve que la vulnérabilité ait été exploitée, même si la divulgation a fuité en ligne avant une révélation privée prévue en octobre, ce qui a incité le développeur qui a découvert la vulnérabilité à publier l'explication complète dans un article sur son blog. Dans ces conditions, la vulnérabilité pourrait très bien commencer à être exploitée par des acteurs malveillants.
Selon le long article de blog du chercheur Simone Margaritelli, les services liés au système d’impression CUPS sont vulnérables à l’exécution de code à distance. En gros, un système attaquant convainc le planificateur d’impression qu’il s’agit d’une imprimante et envoie un logiciel malveillant (qui peut être un code exécutable arbitraire) déguisé en fichier de configuration d’imprimante. Ce processus ne nécessite aucune intervention de l’utilisateur, car CUPS accepte tout paquet envoyé via le port *:631. La prochaine fois que l’utilisateur tente d’imprimer quelque chose, ce code peut être exécuté, ce qui peut compromettre le système.
Résumé :
CVE-2024-47176 | cups-browsed <= 2.0.1 se lie sur UDP INADDR_ANY:631 en faisant confiance à tout paquet de toute source pour déclencher une requête IPP Get-Printer-Attributes vers une URL contrôlée par un attaquant.
CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 ne valide ni ne nettoie les attributs IPP renvoyés par un serveur IPP, fournissant des données contrôlées par l'attaquant au reste du système CUPS.
CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 ne valide ni ne nettoie les attributs IPP lors de leur écriture dans un fichier PPD temporaire, permettant l'injection de données contrôlées par l'attaquant dans le PPD résultant.
CVE-2024-47177 | cups-filters <= 2.0.1 foomatic-rip permet l'exécution de commandes arbitraires via le paramètre PPD FoomaticRIPCommandLine.
L'exploit spécifique dépend d'une multitude de vulnérabilités non corrigées, certaines vieilles de plus de dix ans, ce qui en fait un problème particulièrement préoccupant pour ceux qui utilisent Linux ou Unix. Pour que ce vecteur d'attaque fonctionne, le système doit avoir CUPS (Common Unix Printing System) et cups-browsed installés et en cours d'exécution, ce qui est la valeur par défaut pour de nombreux systèmes. Selon Margaritelli, il existe actuellement 200 000 à 300 000 systèmes avec le service d'impression connectés à Internet, bien que Shodan rapporte (voir capture d'écran ci-dessus) qu'il existe environ 76 000 systèmes avec des ports CUPS ouverts connectés à Internet.
Bien que le chercheur affirme que la plupart des distributions GNU/Linux, ainsi que potentiellement ChromeOS et macOS, sont affectées, il convient de noter que ce n'est pas la configuration par défaut de nombreuses distributions Linux, et cela ne devrait surtout pas être le cas pour les serveurs ou centres de données à grande échelle, ce qui signifie que le plus grand groupe cible serait les utilisateurs de PC privés exécutant Linux.
TECHPOWERUP
