#记录我的2024#

快速导读

在 OpenPrinting 常见 Unix 打印系统（CUPS）中，发现了多项安全漏洞，可能导致远程命令执行。安全研究员西蒙·马尔加里特利指出，攻击者可以将打印机的 IPP URL 替换为恶意链接，从而在打印作业时执行任意命令。这些漏洞（CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177）允许操控打印机属性，可能导致恶意代码在 lp 用户权限下运行。虽然红帽企业 Linux（RHEL）称这些漏洞在默认配置下不可利用，但仍存在风险。网络安全公司建议禁用 cups-browsed 服务，并限制 UDP 端口 631 的流量。补丁正在开发中。专家认为，尽管影响可能较大，但与 Log4Shell 或 Heartbleed 等事件相比，其严重性较低。

常见 Unix 打印系统中的安全漏洞

在用于 Linux 系统的 OpenPrinting 常见 Unix 打印系统（CUPS）中，发现了一系列新的安全漏洞。这些漏洞可能在特定条件下允许远程命令执行。安全研究员西蒙·马尔加里特利（Simone Margaritelli）指出：“一名未经身份验证的远程攻击者可以悄无声息地将现有打印机（或安装新的打印机）的 IPP URL 替换为恶意链接。当从该设备发起打印作业时，这可能导致在计算机上执行任意命令。”

CUPS 是一种基于标准的开源打印系统，广泛应用于各种 Linux 和类 Unix 操作系统，包括 ArchLinux、Debian、Fedora、红帽企业 Linux（RHEL）、ChromeOS、FreeBSD、NetBSD、OpenBSD、openSUSE 和 SUSE Linux。这些漏洞被标识为：CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。每个漏洞都允许对打印机属性进行操控，并可能导致在处理打印作业时执行恶意命令。

潜在的利用和影响

这些漏洞的后果可能相当严重，因为它们可能被利用来在暴露于网络的 Linux 系统上创建一个恶意的假打印设备。当向该设备发送打印作业时，可能会触发远程代码执行。网络安全公司 Ontinue 指出，问题的根源在于 ‘cups-browsed’ 组件中对“新打印机可用”公告的处理不当。这与对来自恶意打印资源的信息验证不足相结合，使攻击者能够安装有害的打印机驱动程序并执行恶意代码。该代码以 lp 用户的权限运行，而非超级用户 ‘root’ 的权限。

根据红帽企业 Linux（RHEL）的说法，所有版本的操作系统都受到这些漏洞的影响，尽管在默认配置下不可被利用。RHEL 将这些问题分类为重要性，表明实际影响预计较低。然而，他们警告称，攻击者可能会利用这些漏洞实现远程代码执行，从而导致敏感数据被窃取或关键生产系统受到损害。

建议和未来行动

网络安全公司 Rapid7 指出，系统只有在 UDP 端口 631 可访问且服务正在监听的情况下才会受到漏洞影响，无论是来自公共互联网还是网络分段内。Palo Alto Networks 确认其产品或云服务中不包括受影响的 CUPS 相关软件包，因此不受这些漏洞的影响。补丁目前正在开发中，预计将很快发布。与此同时，建议用户在不需要的情况下禁用并移除 cups-browsed 服务，并限制对 UDP 端口 631 的流量。

WatchTowr 的首席执行官本杰明·哈里斯（Benjamin Harris）表示，尽管这些漏洞被标记为可能对 Linux 系统造成灾难性影响，但它们可能只影响其中的一部分。他强调，运行 CUPS 的桌面机器不太可能像典型的 Linux 服务器版本那样暴露于互联网。Tenable 的高级研究工程师萨特南·纳朗（Satnam Narang）也表达了相同的看法，指出这些漏洞并未达到 Log4Shell 或 Heartbleed 等事件的严重性水平。他强调了持续进行安全研究的重要性，以及软件供应商需要改进实践的必要性。