ClickCease Vulnérabilités de CUPS : Atténuer les risques d'exécution de code à distance

Vérifier le statut des CVE. En savoir plus.

Le système d'impression commun d'UNIX (CUPS) est un système d'impression open-source largement utilisé, qui prévaut sur Linux et les systèmes d'exploitation de type UNIX tels que FreeBSD, NetBSD et OpenBSD. Bien que CUPS fournisse des services d'impression essentiels, des découvertes récentes ont mis en évidence des vulnérabilités critiques qui pourraient permettre à des attaquants d'exploiter des systèmes par le biais d'une exécution de code à distance (RCE) dans certaines conditions.

 

Comprendre les vulnérabilités de CUPS

 

Plusieurs failles de sécurité ont été récemment découvertes dans plusieurs composants du système CUPS. Ces vulnérabilités sont répertoriées comme suit :

  • CVE-2-24-47076 (libcupsfilters)
  • CVE-2024-47175 (libppd)
  • CVE-2024-47176 (cups-browsed)
  • CVE-2024-47177 (filtres cups)

Découvertes par le chercheur en sécurité Simone Margaritelli, ces failles présentent un risque important d'exécution de code à distance si les attaquants peuvent les exploiter dans des conditions spécifiques. Cependant, il est important de noter que les systèmes ne sont pas vulnérables dans leur configuration par défaut. Les attaquants devraient enchaîner ces failles pour exécuter du code arbitraire à distance sur les machines vulnérables.

L'un des composants critiques impliqués dans ces vulnérabilités est le démon cups-browsed. Ce démon est chargé de rechercher sur le réseau local les imprimantes réseau ou partagées annoncées et de les mettre à la disposition des utilisateurs d'une machine. De la même manière que Windows et macOS localisent les imprimantes réseau, cups-browsed permet une découverte transparente des imprimantes dans les environnements Linux.

Toutefois, cette fonctionnalité comporte des risques. Lorsqu'elle est activée, cups-browsed écoute sur le port UDP 631, ce qui permet aux périphériques distants du réseau de se connecter et de créer de nouvelles imprimantes. Dans la plupart des configurations, cups-browsed est désactivé par défaut, mais si un administrateur l'a activé, le système devient vulnérable aux attaques.

 

Exécution de code à distance : Comment cela fonctionne-t-il ?

 

La chaîne d'exécution de code à distance (RCE) dans CUPS comporte plusieurs étapes :

Activation de cups-browsed : Pour que la vulnérabilité RCE puisse être exploitée, le démon cups-browsed doit être actif sur le système cible. Par défaut, ce service est désactivé, ce qui réduit le risque d'exploitation.

Exposition au réseau : si l'option cups-browsed est activée, le système écoute les imprimantes réseau sur le port UDP 631, ce qui le rend vulnérable aux connexions externes provenant d'appareils malveillants situés sur le même réseau.

Création d'imprimantes malveillantes : Les attaquants peuvent annoncer une imprimante malveillante qui inclut des commandes nuisibles dans son fichier PPD.

Interaction avec l'utilisateur : La dernière étape consiste à demander à un utilisateur de la machine vulnérable d'imprimer à partir de l'imprimante compromise, ce qui déclenche l'exécution de la commande malveillante.

 

Mesures d'atténuation : Rompre la chaîne des exploits

 

Les distributions Linux populaires, y compris Ubuntu et Debian, ont récemment corrigé les vulnérabilités CUPS CVE-2024-47175 et CVE-2024-47176 par le biais de mises à jour de sécurité. Pour les systèmes qui n'ont pas encore appliqué ces correctifs, Red Hat et d'autres fournisseurs recommandent de désactiver le service cups-browsed afin d'éviter qu'il ne fonctionne et n'expose le système à des attaques basées sur le réseau.

Voici comment les administrateurs peuvent arrêter le service cups-browsed et s'assurer qu'il ne démarre pas au redémarrage :

sudo systemctl stop cups-browsed

sudo systemctl disable cups-browsed

En outre, les administrateurs peuvent vérifier si cups-browsed est en cours d'exécution à l'aide de la commande suivante :

sudo systemctl status cups-browsed

 

Conclusion

 

Alors que les vulnérabilités de CUPS présentent un risque important dans des configurations spécifiques, les systèmes avec des paramètres par défaut ne présentent généralement pas de risque. Le problème le plus préoccupant, l'exécution à distance, nécessite plusieurs étapes pour être exploité, y compris l'interaction de l'utilisateur avec une imprimante malveillante.

Pour les administrateurs, l'essentiel est de revoir la configuration de leurs systèmes, de désactiver cups-browsed lorsqu'il n'est pas nécessaire et de rester à l'affût des correctifs qui corrigent ces vulnérabilités. En prenant ces mesures, les risques d'exploitation des failles de CUPS pour l'exécution de code à distance peuvent être minimisés.

 

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Vulnérabilités de CUPS : Atténuer les risques d'exécution de code à distance
Nom de l'article
Vulnérabilités de CUPS : Atténuer les risques d'exécution de code à distance
Description
Découvrez les récentes vulnérabilités de CUPS, y compris les failles potentielles d'exécution de code à distance (RCE) et apprenez les étapes clés pour sécuriser vos systèmes Linux.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, sans interruption du système ou sans fenêtres de maintenance programmées ?

En savoir plus sur le Live Patching avec TuxCare

Table des matières

Obtenez les réponses à vos questions sur la sécurité des logiciels libres

Posez-nous une question

Rejoignez notre bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.