Linux CUPS遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

2024-09-27

一、概要

        近日，華為云監(jiān)控到互聯(lián)網(wǎng)披露Linux CUPS（開(kāi)源的打印系統(tǒng)）遠(yuǎn)程代碼執(zhí)行漏洞利用細(xì)節(jié)，cups-browsed組件在處理請(qǐng)求時(shí)，未經(jīng)身份驗(yàn)證的攻擊者可以構(gòu)造特制的請(qǐng)求包觸發(fā)漏洞，實(shí)現(xiàn)在目標(biāo)主機(jī)上的RCE。目前已公布攻擊鏈中利用到的4個(gè)CVE（CVE-2024-47176/CVE-2024-47076/CVE-2024-47175/CVE-2024-47177），后續(xù)可能還有更新。POC也已公開(kāi)，風(fēng)險(xiǎn)高。

        CUPS 是一個(gè)廣泛使用在 Linux/Unix 系統(tǒng)上的開(kāi)源打印服務(wù)軟件。華為云提醒使用Linux/Unix的用戶及時(shí)安排自檢并做好安全加固。

        參考鏈接：

        https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

二、威脅級(jí)別

        威脅級(jí)別：【嚴(yán)重】

        （說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

        CVE-2024-47176 cups-browsed <= 2.0.1

        CVE-2024-47076 libcupsfilters <= 2.1b1

        CVE-2024-47175 libppd <= 2.1b1

        CVE-2024-47177 cups-filters <= 2.0.1

四、漏洞處置

        影響排查：

        檢查系統(tǒng)是否啟用CUPS相關(guān)服務(wù)，執(zhí)行：

        systemctl status cups-browsed

        如果返回 “Unit cups-browsed.service could not be found.”，表示未安裝 CUPS 相關(guān)服務(wù)，該系統(tǒng)不受漏洞影響

        如果返回服務(wù)狀態(tài)，查看“Active”屬性是否為“inactive (dead)”，如果是，則表示已安裝但未啟用服務(wù)，該系統(tǒng)不受漏洞影響；如果 “Active” 屬性為 “active (running)”，則表示系統(tǒng)啟用了服務(wù)，系統(tǒng)受漏洞影響。

        緩解措施：

        1、如果不使用Linux相關(guān)打印服務(wù)，禁用、刪除cups-browsed；

        2、阻止UDP端口631的流量訪問(wèn)；

        漏洞修復(fù)：

        目前組件官方和各大Linux發(fā)行商暫未發(fā)布修復(fù)版本，請(qǐng)用戶持續(xù)關(guān)注官方安全版本發(fā)布。

        注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。