La risposta di Red Hat alle vulnerabilità di OpenPrinting CUPS: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177

TL;DR: tutte le versioni di Red Hat Enterprise Linux (RHEL) sono interessate dalle vulnerabilità CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177, ma non sono vulnerabili nelle rispettive configurazioni predefinite.

Red Hat è stata informata di una serie di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177) all'interno di OpenPrinting CUPS, un sistema open source per la stampa molto impiegato nella maggior parte delle moderne distribuzioni di Linux, incluso RHEL. Nello specifico, CUPS fornisce gli strumenti per gestire, individuare e condividere le stampanti per le distribuzioni di Linux. Creando una catena di exploit per questo gruppo di vulnerabilità, l'autore di un attacco potrebbe eseguire del codice da remoto. Questo comporterebbe il potenziale furto di dati sensibili e/o il danneggiamento di sistemi di produzione critici.

Red Hat considera la gravità dell'impatto legato a questi problemi come notevole. Sebbene tutte le versioni di RHEL siano interessate, è fondamentale tenere presente che i pacchetti coinvolti non sono vulnerabili nella loro configurazione predefinita. In questa fase sono quattro i CVE assegnati a tali vulnerabilità, ma il numero esatto deve essere ancora confermato dai ricercatori e dalla community upstream che hanno scoperto il problema.

Sfruttamento

Lo sfruttamento di queste vulnerabilità è possibile tramite la seguente catena di eventi:

1. Il servizio cups-browsed è stato attivato o avviato manualmente
2. Un autore dell'attacco ha accesso a un server vulnerabile, che:
   1. Consente un accesso senza restrizioni, ad esempio la rete Internet pubblica, o
   2. Offre l'accesso a una rete interna in cui le connessioni locali sono ritenute affidabili
3. L'autore dell'attacco promuove un server IPP dannoso, in modo da eseguire il provisioning di una stampante dannosa
4. Una potenziale vittima tenta di stampare dal dispositivo dannoso
5. L'autore dell'attacco esegue un codice arbitrario sul computer della vittima

Rilevamento

I clienti di Red Hat devono usare il seguente comando per stabilire se cups-browsed è in esecuzione:

$ sudo systemctl status cups-browsed

Se il risultato include “Active: inactive (dead)”, la catena di exploit è stata bloccata e il sistema non è vulnerabile

Se il risultato è “running” o “enabled” e la direttiva “BrowseRemoteProtocols” contiene il valore “cups” nel file di configurazione /etc/cups/cups-browsed.conf, allora il sistema è vulnerabile.

Riduzione dei rischi

Per ridurre i rischi dovuti a queste vulnerabilità basta eseguire due comandi, in particolare in qualsiasi ambiente in cui non è necessario stampare.

Per interrompere un servizio cups-browsed in esecuzione, un amministratore deve usare il seguente comando:

$ sudo  systemctl stop cups-browsed

È anche possibile impedire al servizio cups-browsed di riattivarsi al riavvio con:

$ sudo systemctl disable cups-browsed

Anche Red Hat e l'ampia community di Linux stanno preparando alcune patch per risolvere questi problemi.

Ringraziamenti

Red Hat ringrazia Simone “EvilSocket” Margaritelli per aver individuato e segnalato queste vulnerabilità e Till Kamppeter (OpenPrinting) per l'ulteriore supporto al coordinamento.

Ulteriori informazioni

Leggi il documento di Red Hat sulla sicurezza in merito a queste vulnerabilità