ClickCease Vulnerabilidades de CUPS: Mitigación de riesgos de ejecución remota de código

Compruebe el estado de las CVE. Más información.

Common UNIX Printing System (CUPS) es un sistema de impresión de código abierto ampliamente utilizado, que prevalece en Linux y en sistemas operativos tipo UNIX como FreeBSD, NetBSD y OpenBSD. Aunque CUPS proporciona servicios de impresión esenciales, descubrimientos recientes han puesto de manifiesto vulnerabilidades críticas que podrían permitir a los atacantes explotar los sistemas mediante la ejecución remota de código (RCE) en determinadas condiciones.

 

Vulnerabilidades de CUPS

 

Recientemente se han descubierto varias vulnerabilidades de seguridad en varios componentes del sistema CUPS. Estas vulnerabilidades se rastrean como:

  • CVE-2-24-47076 (libcupsfilters)
  • CVE-2024-47175 (libppd)
  • CVE-2024-47176 (tazas-navegadas)
  • CVE-2024-47177 (cups-filters)

Descubiertos por el investigador de seguridad Simone Margaritelli, estos fallos presentan un riesgo significativo de ejecución remota de código si los atacantes pueden explotarlos en condiciones específicas. Sin embargo, es importante señalar que los sistemas no son vulnerables en sus configuraciones por defecto. Los atacantes necesitarían encadenar estos fallos para ejecutar código arbitrario de forma remota en máquinas vulnerables.

Uno de los componentes críticos implicados en estas vulnerabilidades es el demonio cups-browsed. Este demonio es responsable de buscar en la red local impresoras de red o compartidas anunciadas y ponerlas a disposición de los usuarios de una máquina. De forma similar a cómo Windows y macOS localizan las impresoras de red, cups-browsed permite el descubrimiento de impresoras sin problemas en entornos Linux.

Sin embargo, esta funcionalidad conlleva riesgos. Cuando está activada, cups-browsed escucha en el puerto UDP 631, permitiendo a los dispositivos remotos de la red conectarse y crear nuevas impresoras. En la mayoría de las configuraciones, cups-browsed está desactivado por defecto, pero si un administrador lo ha activado, el sistema se vuelve vulnerable a los ataques.

 

Ejecución remota de código: ¿Cómo funciona?

 

La cadena de ejecución remota de código (RCE) en CUPS implica varios pasos:

Habilitar cups-browsed: Para que la vulnerabilidad RCE pueda ser explotada, el demonio cups-browsed debe estar activo en el sistema objetivo. Por defecto, este servicio está desactivado, lo que reduce el riesgo de explotación.

Exposición a la red: Si cups-browsed está activado, el sistema escuchará impresoras de red en el puerto UDP 631, haciéndolo vulnerable a conexiones externas desde dispositivos maliciosos en la misma red.

Creación de impresoras maliciosas: Los atacantes pueden anunciar una impresora maliciosa que incluya comandos dañinos en su archivo PPD.

Interacción del usuario: El paso final requiere que un usuario en la máquina vulnerable imprima desde la impresora comprometida, desencadenando la ejecución del comando malicioso.

 

Medidas paliativas: Romper la cadena de explotación

 

Distribuciones populares de Linux, incluyendo Ubuntu y Debian han abordado recientemente las vulnerabilidades CUPS CVE-2024-47175 y CVE-2024-47176 a través de actualizaciones de seguridad. Para los sistemas que aún no han aplicado estos parches, Red Hat y otros proveedores recomiendan desactivar el servicio CUPS para evitar que se ejecute y exponga el sistema a ataques basados en la red.

He aquí cómo los administradores pueden detener el servicio de búsqueda de tazas y asegurarse de que no se inicie al reiniciar:

sudo systemctl stop cups-browsed

sudo systemctl disable cups-browsed

Además, los administradores pueden comprobar si cups-browsed se está ejecutando actualmente mediante el siguiente comando:

sudo systemctl status cups-browsed

 

Conclusión

 

Aunque las vulnerabilidades de CUPS presentan un riesgo significativo en configuraciones específicas, los sistemas con la configuración por defecto no suelen suponer un riesgo. El problema más preocupante, la ejecución remota, requiere múltiples pasos para explotarlo, incluida la interacción del usuario con una impresora maliciosa.

Para los administradores, la clave está en revisar la configuración de sus sistemas, deshabilitar cups-browsed donde no sea necesario y estar atentos a los parches que solucionan estas vulnerabilidades. Tomando estas medidas, se pueden minimizar los riesgos de que los fallos de CUPS sean explotados para la ejecución remota de código.

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
Vulnerabilidades de CUPS: Mitigación de riesgos de ejecución remota de código
Nombre del artículo
Vulnerabilidades de CUPS: Mitigación de riesgos de ejecución remota de código
Descripción
Descubra las recientes vulnerabilidades de CUPS, incluidos los posibles fallos de ejecución remota de código (RCE) y aprenda los pasos clave para proteger sus sistemas Linux.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Índice

Obtenga las respuestas de seguridad de código abierto que necesita

Haznos una pregunta

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.