ClickCease CUPS 취약점: 원격 코드 실행 위험 완화하기

CVE 상태를 확인하세요. 자세히 알아보기.

커먼 유닉스 프린트 시스템(CUPS)은 널리 사용되는 오픈 소스 프린트 시스템으로, 리눅스와 FreeBSD, NetBSD, OpenBSD와 같은 유닉스 계열 운영체제에서 널리 사용되고 있습니다. CUPS는 필수적인 인쇄 서비스를 제공하지만, 최근 특정 조건에서 공격자가 원격 코드 실행(RCE)을 통해 시스템을 악용할 수 있는 심각한 취약점이 발견되었습니다.

 

CUPS 취약점 이해

 

최근 CUPS 시스템의 여러 구성 요소에서 몇 가지 보안 취약점이 발견되었습니다. 이러한 취약점은 다음과 같이 추적됩니다:

  • CVE-2-24-47076 (libcupsfilters)
  • CVE-2024-47175 (libppd)
  • CVE-2024-47176 (컵 브라우징)
  • CVE-2024-47177(컵-필터)

보안 연구원 시몬 마르가리텔리가 발견한 이 결함은 공격자가 특정 조건에서 이를 악용할 경우 원격 코드 실행에 상당한 위험을 초래할 수 있습니다. 그러나 시스템의 기본 구성에서는 취약하지 않다는 점에 유의하는 것이 중요합니다. 공격자가 취약한 시스템에서 원격으로 임의의 코드를 실행하려면 이러한 결함을 서로 연결해야 합니다.

이러한 취약점과 관련된 중요한 구성 요소 중 하나는 컵 브라우징 데몬입니다. 이 데몬은 로컬 네트워크에서 광고된 네트워크 또는 공유 프린터를 검색하여 컴퓨터의 사용자가 사용할 수 있도록 하는 역할을 담당합니다. Windows 및 macOS에서 네트워크 프린터를 찾는 방식과 유사하게, 컵스 브라우즈는 Linux 환경에서 프린터를 원활하게 검색할 수 있게 해줍니다.

하지만 이 기능에는 위험이 따릅니다. 이 기능을 활성화하면 컵스 브라우징은 UDP 포트 631에서 수신 대기하여 네트워크의 원격 장치가 연결하고 새 프린터를 만들 수 있도록 허용합니다. 대부분의 구성에서 컵스 브라우즈는 기본적으로 비활성화되어 있지만 관리자가 이 기능을 활성화하면 시스템이 공격에 취약해집니다.

 

원격 코드 실행: 어떻게 작동하나요?

 

CUPS의 원격 코드 실행(RCE) 체인에는 여러 단계가 포함됩니다:

컵 브라우징 활성화: RCE 취약점이 악용되려면 대상 시스템에서 컵 브라우징 데몬이 활성화되어 있어야 합니다. 기본적으로 이 서비스는 비활성화되어 있으므로 악용될 위험이 줄어듭니다.

네트워크 노출: 컵스 브라우징이 활성화되어 있으면 시스템이 UDP 포트 631에서 네트워크 프린터를 수신 대기하므로 동일한 네트워크에 있는 악성 디바이스의 외부 연결에 취약해집니다.

악성 프린터 만들기: 공격자는 PPD 파일에 유해한 명령을 포함하는 악성 프린터를 광고할 수 있습니다.

사용자 상호작용: 마지막 단계에서는 취약한 컴퓨터의 사용자가 감염된 프린터에서 인쇄하여 악성 명령의 실행을 트리거해야 합니다.

 

완화 조치: 익스플로잇 체인 끊기

 

우분투와 데비안 등 인기 있는 Linux 배포판은 최근 보안 업데이트를 통해 CUPS 취약점 CVE-2024-47175 및 CVE-2024-47176을 해결했습니다. 아직 이러한 패치를 적용하지 않은 시스템의 경우 Red Hat 및 기타 공급업체에서는 컵스 브라우징 서비스를 비활성화하여 시스템이 실행되지 않고 네트워크 기반 공격에 노출되는 것을 방지할 것을 권장합니다.

관리자가 컵스 브라우징 서비스를 중지하고 재부팅 시 서비스가 시작되지 않도록 하는 방법은 다음과 같습니다:

sudo systemctl stop cups-browsed

sudo systemctl disable cups-browsed

또한 관리자는 다음 명령을 사용하여 컵스 브라우징이 현재 실행 중인지 확인할 수 있습니다:

sudo systemctl status cups-browsed

 

결론

 

CUPS 취약점은 특정 구성에서 상당한 위험을 초래할 수 있지만, 기본 설정이 있는 시스템에서는 일반적으로 위험하지 않습니다. 가장 우려되는 문제인 원격 실행은 악용하기 위해 사용자가 악성 프린터와 상호작용하는 등 여러 단계를 거쳐야 합니다.

관리자의 경우, 시스템 구성을 검토하고, 필요하지 않은 경우 컵스 브라우징을 비활성화하고, 이러한 취약점을 해결하는 패치를 계속 주시하는 것이 핵심입니다. 이러한 조치를 취하면 원격 코드 실행에 악용되는 CUPS 결함의 위험을 최소화할 수 있습니다.

 

이 글의 출처는 BleepingComputer의 이야기입니다.

요약
CUPS 취약점: 원격 코드 실행 위험 완화하기
기사 이름
CUPS 취약점: 원격 코드 실행 위험 완화하기
설명
잠재적인 원격 코드 실행(RCE) 결함을 포함한 최근 CUPS 취약점에 대해 알아보고 Linux 시스템 보안을 위한 주요 단계를 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

목차

필요한 오픈 소스 보안에 대한 답변 얻기

질문하기

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.