Novo scanner encontra servidores Linux e UNIX expostos a ataques CUPS RCE

Novo scanner encontra servidores Linux e UNIX expostos a ataques CUPS RCE
Compartilhe

Um scanner automatizado foi lançado para ajudar profissionais de segurança a escanear ambientes em busca de dispositivos vulneráveis ​​à falha RCE do Common Unix Printing System (CUPS), rastreada como CVE-2024-47176.

Linux e UNIX – RCE

A falha, que permite que invasores executem código remoto arbitrário se certas condições forem atendidas, foi divulgada no final do mês passado pela pessoa que a descobriu, Simone Margaritelli.

Embora seu aspecto RCE pareça limitado em implantações no mundo real devido aos pré-requisitos para exploração, a Akamai mostrou posteriormente que o CVE-2024-47176 também abriu a possibilidade de amplificação de 600x em ataques distribuídos de negação de serviço (DDoS).

O scanner foi criado pelo pesquisador de segurança cibernética Marcus Hutchins (também conhecido como “MalwareTech”), que criou o scanner para ajudar administradores de sistemas a escanear suas redes e identificar rapidamente dispositivos executando serviços vulneráveis ​​do CUPS-Browsed.

“A vulnerabilidade surge do fato de que cups-browsed vincula sua porta de controle (porta UDP 631) a INADDR_ANY, expondo-a ao mundo. Como as solicitações não são autenticadas, qualquer um capaz de alcançar a porta de controle pode instruir cups-browsed a executar printer discovered.”

“Nos casos em que a porta não pode ser acessada pela internet (devido a firewalls ou NAT), ela ainda pode ser acessada pela rede local, permitindo escalonamento de privilégios e movimentação lateral.”

“Por esse motivo, criei este scanner projetado para escanear sua rede local em busca de instâncias vulneráveis ​​do cups-browsed.” – Marcus Hutchins

Como funciona o scanner

O script Python (cups_scanner.py) configura um servidor HTTP na máquina de digitalização que escuta solicitações HTTP recebidas (retornos de chamada) de dispositivos na rede.

O CVE-2024-47176 surge quando o CUPS-browsed (um daemon do CUPS) vincula sua porta de controle (porta UDP 631) ao INADDR_ANY, expondo a porta à rede e permitindo que qualquer sistema envie comandos a ela.

O scanner envia um pacote UDP personalizado para o endereço de transmissão da rede na porta 631, enviado para cada endereço IP no intervalo especificado, informando às instâncias do CUPS para enviar uma solicitação de volta.

Se um dispositivo executando uma instância vulnerável do cups-browsed receber o pacote UDP, ele interpretará a solicitação e enviará um retorno de chamada HTTP ao servidor, de modo que somente aqueles que responderem serão marcados como vulneráveis.

Novo scanner encontra servidores Linux e UNIX expostos a ataques CUPS RCE

Os resultados são gravados em dois logs: um (cups.log) contendo os endereços IP e a versão CUPS dos dispositivos que responderam e um (requests.log) contendo as solicitações HTTP brutas recebidas pelo servidor de retorno de chamada que podem ser usadas para análises mais profundas.

Ao usar este scanner, os administradores de sistema podem planejar e executar ações de correção ou reconfiguração direcionadas, minimizando a exposição do CVE-2024-47176 online.

O BleepingComputer não testou o script e não pode garantir sua eficácia ou segurança, então você deve usá-lo por sua conta e risco.