Архив метки: CUPS

Сентябрьский Linux Patch Wednesday

Сентябрьский Linux Patch Wednesday. В сентябре Linux вендоры начали устранять 748 уязвимостей, чуть меньше, чем в августе. Из них 552 в Linux Kernel. Доля уязвимостей Linux Kernel растёт! Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 MemCor - Chromium (CVE-2025-10585). Для неё есть публичные эксплоиты.

Для 63 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - CivetWeb (CVE-2025-55763), ImageMagick (CVE-2025-55298), Asterisk (CVE-2025-49832), libbiosig (CVE-2025-46411 и ещё 22 CVE), sail (CVE-2025-32468 и ещё 7 CVE)
🔸 AuthBypass - OAuth2 Proxy (CVE-2025-54576), CUPS (CVE-2025-58060)
🔸 EoP - UDisks (CVE-2025-8067)
🔸 SQLi - Django (CVE-2025-57833)
🔸 SFB - CUPS (CVE-2025-58364)

🗒 Полный отчёт Vulristics

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак

Добавить комментарий

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак.

Об этом пишут исследователи из Akamai Technologies. Злоумышленник может отправить на уязвимый хост с CUPS специальный пакет: "добавь-ка принтер по этому IP-адресу". И CUPS начнёт посылать по указанному IP-адресу большие IPP/HTTP запросы. Таким образом можно организовать уязвимые хосты, чтобы они начали DDoS-ить нужные злоумышленнику IP-адреса.

Akamai обнаружили более 198 000 уязвимых хостов с CUPS, из которых более 58 000 (34%) могут быть использованы для DDoS-атак. Из них сотни демонстрировали "бесконечный цикл" запросов в ответ на HTTP/404.

Если предположить, что все 58 000+ уязвимых хостов будут использованы для атаки, они могут вызвать поток трафика от 1 ГБ до 6 ГБ на один udp пакет злоумышленника. Жертве придётся обрабатывать 2,6 млн. TCP-соединений и HTTP-запросов.

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS

Добавить комментарий

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS. 26 сентября исследователь Simone Margaritelli (evilsocket) раскрыл 4 уязвимости в сервере печати CUPS для Linux систем (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) в компонентах cups-browsed, libcupsfilters, libppd и cups-filters.

Цепочка уязвимостей позволяет удаленному неаутентифицированному злоумышленнику незаметно заменять существующие IPP URL-ы принтеров на вредоносные, посылая специальные пакеты на 631/UDP. Затем при инициировании задания печати происходит RCE. Возможна массовая эксплуатация в локальных сетях через mDNS или DNS-SD.

В бюллетене OpenPrinting/cups-browsed есть PoC эксплоита.

Сколько потенциально уязвимых хостов доступно из Интернет?
🔻 Оценка Qualys и Rapid7 - 75000.
А в Рунете?
🔻 Оценка СайберОК - 5000

Патчей пока нет. 🤷‍♂️ Ждём, режем сетевые доступы и отключаем cups-browsed, где не нужен.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: CUPS

Сентябрьский Linux Patch Wednesday

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак

Про Remote Code Execution - CUPS cups-browsed (CVE-2024-47176) и другие уязвимости CUPS