CUPS e a Nova Vulnerabilidade de Execução Remota em Linux

Foto de FlyD na Unsplash

Hoje, uma grave vulnerabilidade de execução remota de código (RCE) sem autenticação foi revelada, afetando sistemas Linux e que possui um alto escore de CVSS de 9.9. Essa questão, que vinha sendo especulada, foi finalmente detalhada por Simone Margaritelli, o pesquisador que a descobriu. Vamos entender o que isso significa e como você pode se proteger.

Detalhes da Vulnerabilidade

A vulnerabilidade, identificada como CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 e CVE-2024-47177, não afeta diretamente o núcleo do Linux, mas sim o CUPS (Common Unix Printing System), um servidor de impressão amplamente utilizado em sistemas Linux e outras plataformas. Margaritelli descreve a falha da seguinte maneira:

“Um atacante remoto não autenticado pode silenciosamente substituir as URLs IPP de impressoras existentes (ou instalar novas) por uma maliciosa, resultando na execução de comandos arbitrários no computador quando um trabalho de impressão é iniciado.”

Como a Exploração Ocorre

Essa vulnerabilidade pode ser explorada pela Internet pública através de um pacote UDP enviado para a porta 631, sem necessidade de autenticação, caso essa porta esteja aberta no seu roteador ou firewall. Além disso, ataques na rede local (LAN) são possíveis por meio de técnicas de spoofing como zeroconf, mDNS e DNS-SD.

Vale ressaltar que, embora o CUPS seja comumente utilizado em distribuições Linux, ele também impacta alguns sistemas BSD, Oracle Solaris, Google Chrome OS e outros.

Ação Imediata Recomendada

Atualmente, não há correções disponíveis para essa séria questão de segurança. Portanto, é crucial tomar medidas imediatas para mitigar os riscos. Aqui estão algumas recomendações:

1. Desative o Serviço “cups-browsed”: Isso pode ajudar a prevenir a exploração da vulnerabilidade.
2. Atualize o CUPS: Certifique-se de que você está utilizando a versão mais recente do software.
3. Bloqueie o Tráfego para a Porta UDP 631: Essa é uma ação fundamental se você deseja evitar que a vulnerabilidade seja explorada.

Recursos Adicionais

Para mais informações sobre essa questão de segurança do CUPS, confira o post completo de Simone Margaritelli. Além disso, a Red Hat também publicou um comunicado sobre como mitigar as vulnerabilidades do CUPS em servidores RHEL, enfatizando a desativação do “cups-browsed”.

Em um cenário onde a segurança é cada vez mais crítica, é essencial que você permaneça informado e tome as medidas necessárias para proteger seus sistemas. Mantenha-se atento a atualizações e siga as melhores práticas de segurança para garantir a integridade dos seus ambientes de trabalho.