Linux環境におけるCommon Unix Printing System(CUPS)に影響する、新たなリモートコード実行(RCE)脆弱性の一連が発見されました。
重大度はCVSSスコア9.9(クリティカル)と評価されており、認証を必要とせずに攻撃者がシステム上で任意のコードを実行できる可能性があります。
これらの脆弱性はEnterprise Linuxの全バージョンに影響し、Ubuntu Linux 24.04.1で確認されています。また、cups-browsedコンポーネントを実行しているあらゆるシステムに影響する可能性があります。
セキュリティ研究者は、Linuxおよびその他のUnix系システムでネットワーク印刷を扱うCUPSにおいて脆弱性を特定しました。これらの欠陥は、ネットワーク越しのプリンター要求を管理する際の入力検証の不備、特にUDPポート631を介した処理を悪用します。
攻撃者は自分が制御するデバイスから悪意のある印刷ジョブを送信することで、システムに侵害されたプリンタードライバーをインストールさせ、lpユーザーの権限でコード実行を可能にします。
リスクのあるシステム
以下のシステムがこの脆弱性の影響を受けます:
- CUPSまたはcups-browsedを実行しているLinuxサーバーおよびデスクトップ
- 既定でCUPSがインストールされているNASまたはVOIPサーバー
- CUPS印刷サービスが設定されたInternet-of-Things(IoT)デバイス
lpユーザーはスーパーユーザーではありませんが、複数の研究者が、攻撃者がこのアクセスを利用して権限を昇格させ、ネットワークの他の部分へ侵入できる可能性があることを確認しています。
これは、ミッションクリティカルな運用にLinuxシステムを依存している企業や組織にとって深刻な懸念事項です。
この脆弱性は、インターネット全体を対象とした自動スキャンで悪用され得る点で特に懸念されます。いったん侵害されると、攻撃者はリモートアクセス型トロイの木馬(RAT)をインストールし、パッチ適用後も制御を維持する可能性があります。
攻撃ベクターと悪用の可能性
攻撃者がこの脆弱性を悪用するには、標的システムのローカルネットワークへのアクセスが必要となるか、誤設定されたファイアウォールルールを通じてファイアウォール保護を回避する必要があります。
適切に保護された環境では一般的ではありませんが、保護されていない公衆ネットワークに接続されたデバイスにとっては依然として重大な脅威です。
CVE-2024-47176、CVE-2024-47076、およびその他の関連脆弱性により、攻撃者はCUPSサービスに向けたUDPパケットを作成し、印刷属性の検証不備を悪用できます。
組織は直ちに自社システムの露出状況を評価し、この重大リスクを軽減するために推奨されるセキュリティ対策を実装すべきです。
緩和策
リスクを軽減するため、セキュリティ担当者には次の手順を実施することが強く推奨されます:
- 直ちにパッチ適用: CUPSのセキュリティ更新が利用可能になり次第、速やかに適用する
- CUPSを無効化: 印刷サービスが不要な場合は、CUPSを完全に無効化する
- ネットワークアクセスを制限: 不正アクセスを防ぐため、ファイアウォールでUDPポート631をブロックする
- 設定を更新: リモートプリンターの検出を防ぐため、CUPS設定ファイルに「BrowseDeny All」を追加する
翻訳元: https://www.infosecurity-magazine.com/news/rce-vulnerabilities-cups/
