Un investigador de seguridad ha revelado una serie de vulnerabilidades críticas en el sistema de impresión común de UNIX, conocido como CUPS, que podrían permitir a atacantes remotos ejecutar código arbitrario en sistemas afectados. Estas vulnerabilidades afectan a múltiples componentes de CUPS y han sido identificadas con los siguientes códigos CVE:
- CVE-2024-47176: En versiones de cups-browsed hasta la 2.0.1, el servicio escucha en el puerto UDP 631 en todas las interfaces de red, confiando en cualquier paquete entrante para desencadenar una solicitud IPP (Internet Printing Protocol) a una URL controlada por el atacante.
- CVE-2024-47076: La función cfGetPrinterAttributes5 en libcupsfilters hasta la versión 2.1b1 no valida ni sanea los atributos IPP recibidos de un servidor, permitiendo que datos controlados por el atacante se propaguen al resto del sistema CUPS.
- CVE-2024-47175: En libppd hasta la versión 2.1b1, la función ppdCreatePPDFromIPP2 no valida ni sanea los atributos IPP al escribirlos en un archivo PPD (Descripción de Impresora PostScript), lo que permite la inyección de datos manipulados por el atacante.
- CVE-2024-47177: El filtro foomatic-rip en cups-filters hasta la versión 2.0.1 permite la ejecución de comandos arbitrarios a través del parámetro FoomaticRIPCommandLine en archivos PPD.
Impacto y alcance
Estas vulnerabilidades permiten que un atacante remoto y no autenticado pueda:
- Reemplazar o añadir impresoras en el sistema objetivo con URLs maliciosas.
- Ejecutar comandos arbitrarios cuando se inicia un trabajo de impresión desde el sistema comprometido.
Los vectores de ataque incluyen el envío de paquetes UDP al puerto 631 desde cualquier ubicación, lo que es particularmente preocupante para sistemas expuestos a internet. Además, en redes locales, un atacante podría falsificar anuncios de servicios como mDNS o DNS-SD para lograr el mismo efecto.
Sistemas afectados
La mayoría de las distribuciones de GNU/Linux que incluyen CUPS están afectadas, así como algunos sistemas BSD. Aunque la presencia y activación de cups-browsed varía entre sistemas, el riesgo es significativo debido al amplio uso de CUPS en entornos UNIX.
Detalles técnicos
El problema principal radica en que cups-browsed acepta paquetes UDP en el puerto 631 desde cualquier dirección, sin restricciones por defecto. Al recibir un paquete especialmente diseñado, el servicio inicia una serie de llamadas que resultan en una conexión de retorno a una URL controlada por el atacante. Durante este proceso, se manipulan atributos IPP que no son validados adecuadamente, lo que permite inyectar comandos en archivos PPD temporales.
El atacante puede aprovechar el filtro foomatic-rip, conocido por permitir la ejecución de comandos a través del parámetro FoomaticRIPCommandLine en el archivo PPD. Al enviar un trabajo de impresión a la impresora maliciosa, el sistema ejecuta el comando arbitrario incluido, otorgando al atacante control sobre el sistema.
Recomendaciones
- Deshabilitar y eliminar el servicio cups-browsed si no es necesario.
- Actualizar CUPS y sus componentes a las versiones más recientes donde las vulnerabilidades hayan sido corregidas.
- Restringir el tráfico al puerto UDP 631, especialmente desde redes no confiables.
- Revisar y monitorear los servicios de impresión en busca de configuraciones o impresoras no autorizadas.
Estas vulnerabilidades resaltan la importancia de una gestión cuidadosa de servicios y puertos en sistemas expuestos. La capacidad de ejecutar código de forma remota sin autenticación representa un riesgo crítico para la seguridad de los sistemas UNIX. Se insta a administradores y usuarios a tomar medidas inmediatas para mitigar estos riesgos y proteger sus infraestructuras.
Fuentes: EvilSocket, RedHat y Reddit
