CUPSの情報漏洩に関する最新の章において、セキュリティ研究者と彼のバグハンティングエージェントチームが、連鎖して使用すると認証されていない攻撃者がリモートでコードを実行し、ネットワーク上でルートファイルを上書きできる2つの欠陥を発見しました。
CUPS(Common Unix Printing System という別名でも知られている)は、Linuxおよびその他のUnix系システムで印刷用ファイルを送信するための標準的な方法です。セキュリティ研究者のお気に入りのターゲットでもあります。理由としては、a)プリンターに悪いことをさせるのは楽しい、b)AppleデバイスのオペレーティングシステムおよびほとんどのLinuxディストリビューションのデフォルト印刷システムであるため、CUPSのセキュリティ欠陥は広範な影響を持つからです。
Asim Viladi Oglu Manizadaと彼の脆弱性ハンティングエージェントチームが最近CUPSで2つの問題、CVE-2026-34980およびCVE-2026-34990を発見しました。SpaceXのセキュリティエンジニアは、ソフトウェア開発者Simone Margaritelliの2024年の複数のCUPS脆弱性を連鎖させて不正なリモートコード実行(RCE)を達成する研究に触発されたと述べました。
2つの新しい脆弱性はCUPS 2.4.16に影響を及ぼし、オープンソース印刷システムのパッチ済みバージョンはまだありませんが、両方の問題の修正がある公開コミットが存在します。
CVE-2026-34980は、CUPSサーバーがネットワーク経由でアクセス可能で、共有PostScriptキューを公開することが必要です。この設定により、ネットワーク上の他のコンピューターがプリンターへのアクセスを共有できるため、ビジネス環境での使用がより可能性が高くなります。
Manizadaが日曜日の分析で述べたように:「これは意図的な設定選択になるでしょう。例えば、企業環境のネットワーク印刷サーバーにはリアルですが、デスクトップには当てはまりません(何らかの理由でリモート印刷サーバーとして設定した場合を除きます)。」
しかし、これらの前提条件が満たされていると仮定すると、CVE-2026-34980は、認証されていない攻撃者が共有PostScriptキューに印刷ジョブを送信し、lpとしてリモートコード実行を達成するために使用できます。
その後、CVE-2026-34990(デフォルトのCUPS構成で機能する認可フロー)と連鎖され、そのキューに印刷する低い権限のアカウントがルートファイルの上書きを達成することが可能になります。
ManizadaはThe Registerに、これらのCVEに対して脆弱なプリンターの数に関する確実な数字がなく、これまでのところ悪用の兆候を個人的に見ていないと述べました。「ただし、メンテナンスがリリースしたアドバイザリーにはPoC(概念実証)が含まれており、LLM(大規模言語モデル)は書き込みをPoCに迅速に変換できるようになったため、影響を受けるデプロイメントで簡単に悪用できると予想されます」と彼は付け加えました。
仕組み
最初の脆弱性CVE-2026-34980は、CUPSのデフォルトポリシーに由来します。このポリシーは匿名の印刷ジョブ要求を受け入れ、キューが共有されていない場合のみリモート印刷をブロックします。「これにより、デフォルトで認証層なしに、共有キュー上のすべての豊富なエスケープ/パース処理をターゲットにする能力が得られます」とManizadaは書きました。
CUPSはまた、改行の前にバックスラッシュを付け、その後そのオプション文字列を解析する際にバックスラッシュを削除します。これは、攻撃者が改行にコードを埋め込むことができ、それはオプションのエスケープと再解析を生き残ることができることを意味します。
さらに、CUPSは「PPD:」を信頼できるコントロールレコードとして扱い、これはキューの構成を変更し、PPDに悪意のあるエントリを挿入し、CUPSを騙して攻撃者が選択した既存のバイナリ(例えば、lpとして実行されているVimテキストエディター)を実行させるための2番目の印刷ジョブを送信するために悪用できます。
CUPS作成者およびプロジェクトメンテナのMichael Sweetが説明するように、Vimテキストエディターをバイナリとして使用します:
2番目の欠陥、CVE-2026-34990は、ローカルの権限のないユーザーがCUPSスケジューラーデーモン(cupsd)を騙して、再利用可能なAuthorization: Localトークンを使用して攻撃者が制御するlocalhostIPPサービスに認証させるために悪用される可能性があります。
「つまり、攻撃者は[ローカルホスト]上に偽のプリンターを設置し、CUPSを騙してそれを設定させることができます」とManizadaは述べました。
そのキューへの印刷により任意のルートファイル上書きが可能になり、以前のバグと連鎖すると、認証されていない、権限のないリモート攻撃者にネットワーク上でのルートファイル上書きを与えます。
Manizadaによると、このすべてのより大きな絵は、複数の他のセキュリティ研究者と幹部が指摘しているように、AIがコード内の脆弱性を見つけるのに非常に優れてきているということです。一方、人間のメンテナンスはパッチに対応するのに苦労しています。
「単一の『私にリモートRCEをルートに見つけさせてください、間違いを犯さない』というプロンプトで全体のチェーンを発見できないかもしれません」とManizadaは書きました。「しかし、彼らにa)リモートコード実行を何かとして検索し、b)何か→有用なルートプリミティブという課題を与えることで、エージェントは検索スペースを大幅に絞り込み、多くのトークンを消費しないようにすることができます。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/06/ai_agents_cups_server_rce/
