資訊中心管理
緩解影響 GNU/Linux 系統的 CUPS RCE 漏洞
下一篇 - 隱藏威脅逼近:過時的 Java 系統安全風險
前往目錄

緩解影響 GNU/Linux 系統的 CUPS RCE 漏洞

撰文 | 整理及翻譯│叡揚資訊 資安直屬事業處
CUPS(Common Unix Printing System)和其相關元件中發現了多個漏洞,其中包含高風險漏洞。這些漏洞(CVE-2024-47176、CVE-2024- 47076、CVE-2024-47175 和 CVE2024-47177)允許未經驗證的遠端程式碼執行(RCE),影響所有主要的 GNU/ Linux 發行版,包括 Debian 和 Red Hat。

CUPS(Common Unix Printing System)和其相關元件中發現了多個漏洞,其中包含高風險漏洞。這些漏洞(CVE-2024-47176、CVE-2024- 47076、CVE-2024-47175 和 CVE2024-47177)允許未經驗證的遠端程式碼執行(RCE),影響所有主要的 GNU/ Linux 發行版,包括 Debian 和 Red Hat。

如果這些漏洞被利用,可能會導致遠端程式碼執行(RCE),進而影響整個系統,造成系統受損、資料遺失或是被駭客進一步的攻擊,建議立即採取緩解措施。

在這篇文章中,我們將說明保護你的系統免受這些漏洞攻擊的具體步驟,並且深入探討 Orca 雲原生應用程式防護平台如何在過程中提供協助。

CUPS 漏洞有哪些?

CUPS 存在多個漏洞,原因主要是它在處理 IPP(Internet Printing Protocol)屬性時不安全,且缺乏完善的輸入驗證機制。這些漏洞允許未經身份驗證的遠端程式碼執行(RCE),並存在於各種 GNU/ Linux 發行版、BSD 系統,甚至可能影響 ChromeOS 和 Oracle Solaris。

CUPS 廣泛應用於類 Unix 作業系統(Linux、macOS 等),用於管理網路列印任務。它負責系統和印表機之間的通訊,通常使用 IPP 傳輸資料和控制列印作業。

以下是已識別影響 CUPS 組件的漏洞:

  • CVE-2024-47176:Cups-browsed (≤ 2.0.1):

Cups-browsed 服務負責 管理印表機的偵測與設定。它於 UDP 631 連接埠上監聽,並信任來自任何來 源的封包。這使得攻擊者可以傳送惡意封包,觸發「查詢印表機屬性」請求,並將其重新導向到攻擊者控制下的 URL。

  • CVE-2024-47076:Libcupsfilters (≤ 2.1b1):

Libcupsfilters 是負責處理列印作業過濾系統的一部分。該漏洞影響的函式 cfGetPrinterAttributes5 無法正確驗證來自列印伺服器傳回的 IPP屬性,使攻擊者可以將惡意資料注入 CUPS 系統。

  • CVE-2024-47175:Libppd( ≤ 2.1b1):PPD(PostScript Printer Description)

文件用於定義印表機的功能和選項,而 libppd 負責處理這些文件。然而,該函式庫在將 IPP 屬性寫入暫存檔案前,未進行適當的過濾,導致攻擊者能將惡意資料注入列印設定中。

  • CVE-2024-47177:Foomatic-rip utility in cups-filters( ≤ 2.0.1):

Foomatic-rip 是 CUPS 系統的一部分,負責透過解析 PPD 參數來處理列印作業。其中一個參數 FoomaticRIPCommandLine 可被攻擊者操控,從而在系統上執行任意指令。

CUPS 漏洞的潛在影響

未經身份驗證的遠端攻擊者可以利用這 些漏洞進行以下操作:

  • 悄悄地更換或安裝帶有惡意 URL 的新印表機。
  • 在列印作業啟動時執行任意指令,從而完全控制運行 CUPS 的系統。

如何緩解 CUPS 漏洞

目前看來,這些漏洞似乎並未對雲端資產造成重大影響,主要原因如下:

  • 在雲端環境中 CUPS 和 IPP 的使用頻率較低。
  • Cups-browsed 在雲端運算工作負載的伺服器上並非預設安全配置。
  • 只有在 UDP 631 連接埠對外開放,並且目標設備安裝了 Cups-browsed,或者攻擊者已經獲得了對本機網路的存取權,且該設備啟用了 Cupsbrowsed 和 DNS-SD 或 Zeroconf,此類漏洞才會被攻擊者利用。
  • 攻擊者需要先利用 Cups-browsed 漏洞建立惡意列印佇列,然後再建立一個指向該惡意佇列的列印任務,才能成功利用此類 CUPS 漏洞。

我們建議組織優先修補暴露在 UDP 631 埠上公開的資產、執行易受攻擊的函式庫,以及用於建立列印任務的設備。針對這些設備,我們建議採取以下修補措施:

  • 停用服務:如果不需要 Cupsbrowsed 服務,請停用並移除它。
  • 盡快套用最新補丁:一旦有可用的更新,立即將 CUPS 更新到最新的修補版本。
  • 必要時阻擋流量:如果您的系統因任何原因無法更新,請封鎖所有至 631 埠的 UDP 流量,其次可考慮封鎖 DNS-SD/Zeroconf 流量,尤其是當您的系統依賴這些協定的情況下。

Orca 平台如何協助解決 CUPS 漏洞問題

Orca 雲原生應用程式防護平台提供對雲端資產和風險的完整可見性。使用 Orca,您可以輕鬆識別任何可能受到 CUPS 漏洞影響的特定資產。

Orca 可讓您輕鬆找到雲端資產中的任何 CUPS 元件。

Orca 可讓您輕鬆找到雲端資產中的任何 CUPS 元件。

Orca 不僅能列出每個 CUPS CVE 漏洞, 還能判斷環境中那些漏洞應該優先修復。

Orca 使用多種動態標準分析漏洞。
Orca 使用多種動態標準分析漏洞。

結合全面的情境認知和深入的洞察,Orca 可多面向的自動評估每個漏洞的嚴重性,包括漏洞的嚴重程度、被利用的可能性、暴露程度、存取敏感資料的機會,以及受到威脅時可能造成的業務影響。Orca 還可以偵測雲端風險和資產之間的相互關聯風險,優先處理威脅高價值資產的隱藏攻擊路徑。Orca 可持續執行分析,並隨著您環境條件的變化更新每個警報分數。

此外,Orca 為每個警報提供多種修復選項,包括Orca安全專家建議的修復說明, 以及 AI 驅動的修復。後者讓您能夠為控制台、CLI 和 IaC 工具( 例如 Terraform 和 Pulumi)生成修復程式碼和步驟,從而幫助加快平均修復時間(MTTR)。

Orca 還提供與 Jira 和 ServiceNow 的雙向集成,讓您可以指派修復工單並將修復說明包含在工單中。

Orca 原生整合的 AI 引擎一鍵產生修復程式碼和步驟。
Orca 原生整合的 AI 引擎一鍵產生修復程式碼和步驟。 

關於 Orca 雲原生應用程式防護平台

Orca Security 提供業界領先的雲原生應用程式防護平台(Cloud-Native Application Protection Platform, CNAPP),可透過單一平台保護您的所有雲端資產、資料、雲端原生應用程式、API 等,保護從開發到生產的整個雲端環境,提供資產盤點、風險探測和法令遵循等功能,在單一平台上提供跨雲且全面的雲端安全解決方案,解決安全合規、弱點攻擊的痛點。

Orca Security無需安裝Agent,即可快速整合AWS、Azure、Google Cloud 等多雲環境, 深度掃描雲端工作負載、儲存體、容器、Kubernetes、身份與存取管理(IAM)等,全面掌握雲端資產的安全狀況,亦內建即時合規監測功能,支援 CIS、NIST、ISO 27001、 GDPR 等國際安全標準,幫助企業符合監管要求。

了解Orca 雲原生應用程式防護平台>>>https://www.gss.com.tw/product-services-nav/info-security/orca