Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS. 26 сентября исследователь Simone Margaritelli (evilsocket) раскрыл 4 уязвимости в сервере печати CUPS для Linux систем (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) в компонентах cups-browsed, libcupsfilters, libppd и cups-filters.
Цепочка уязвимостей позволяет удаленному неаутентифицированному злоумышленнику незаметно заменять существующие IPP URL-ы принтеров на вредоносные, посылая специальные пакеты на 631/UDP. Затем при инициировании задания печати происходит RCE. Возможна массовая эксплуатация в локальных сетях через mDNS или DNS-SD.
В бюллетене OpenPrinting/cups-browsed есть PoC эксплоита.
Сколько потенциально уязвимых хостов доступно из Интернет?
🔻 Оценка Qualys и Rapid7 - 75000.
А в Рунете?
🔻 Оценка СайберОК - 5000
Патчей пока нет. 🤷♂️ Ждём, режем сетевые доступы и отключаем cups-browsed, где не нужен.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.