Hintergrund
Vier Sicherheitslücken im Common Unix Printing System (CUPS), einem in vielen Linux-Distributionen verbreiteten Druckdienstprogramm, haben in der vergangenen Woche im Internet hohe Wellen geschlagen - vor allem aufgrund des ungewöhnlichen Veröffentlichungsprozesses und der Uneinigkeit über den Schweregrad und die technischen Details in den sozialen Medien.
Insbesondere eine dieser Sicherheitslücken, CVE-2024-47176, erregte aufgrund ihrer inoffiziellen Schweregrad-Einstufung von 9.9 und ihrer Beschreibung als "Unauthenticated RCE affecting all GNU/Linux systems" in einem Beitrag auf X von Sicherheitsforscher Simone Margaritelli (@evilsocket) am 23. September große Aufmerksamkeit. Im Vorfeld der Veröffentlichung wurden Vergleiche mit Heartbleed und Log4Shell gezogen, was den potenziellen Umfang und die Schwere der Auswirkungen auf das Internet betrifft.
Nachdem in der darauffolgenden Woche weitere technische Details bekannt wurden, stellte sich jedoch heraus, dass das tatsächliche Risiko geringer ist als ursprünglich angenommen. Es hat jedoch immer noch erhebliche Folgen, wenn es ausgenutzt wird.
Wir haben zunächst in unserem Rapid Response Advisory vom vergangenen Freitag über unsere Sichtweise berichtet. Im Folgenden gehen wir auf die wichtigsten Details dieser Sicherheitslücke ein und erläutern, was Sie wissen und erwarten sollten.
Wie hoch ist das tatsächliche Risiko?
Vereinfacht ausgedrückt können Angreifer mit CVE-2024-47176 den CUPS-Druckdienst ausnutzen, indem sie ein speziell gestaltetes, nicht authentifiziertes Paket an dessen UDP-Port senden. Dadurch kann der Dienst dazu gebracht werden, eine Verbindung zu einem bösartigen Drucker herzustellen. Wenn das Opfer dann versucht, etwas auf diesem Drucker auszudrucken, kann der Angreifer Remotecodeausführung (RCE) auf dem Zielsystem erreichen.
Es ist wichtig anzumerken, dass es sich derzeit nicht um einen Zero-Click-Angriff handelt, da eine erfolgreiche Ausnutzung in den meisten Fällen eine Benutzerinteraktion erfordert - insbesondere das Auslösen des Druckauftrags. Der Forscher, der diese Schwachstelle entdeckt hat, hat in den sozialen Medien angedeutet, dass je nach Zielgerät eine Ausnutzung ohne Benutzerinteraktion möglich sein könnte. Obwohl ein Konzeptnachweis verfügbar ist, gibt es nur wenige Informationen darüber, ob die Schwachstelle aktiv ausgenutzt wird oder wie diese Ausnutzungsversuche aussehen.
Dennoch ist diese Schwachstelle besorgniserregend, da sie, wenn sie ausgenutzt wird, schwerwiegende Folgen haben kann, einschließlich einer vollständigen Kompromittierung des Systems und seitlicher Bewegungen innerhalb eines Netzwerks. Da CUPS in eingebetteten Geräten und Software von Drittanbietern weit verbreitet ist, ist es zudem möglich, dass diese Schwachstelle als Teil einer Kette in zukünftigen Angriffen ausgenutzt wird, die auf dasselbe zugrunde liegende Problem abzielen.
Messung des Umfangs gefährdeter Systeme
Es gibt zwei Hauptgruppen von Hosts, die mit größerer Wahrscheinlichkeit von CVE-2024-47176 betroffen sind:
- Remote Targets: These are hosts that expose a vulnerable CUPS version (<= 2.0.1) to the public internet while running the affected cups-browsed service. This configuration puts them at risk from remote attackers.
- Lokale Ziele: Wenn ein Angreifer Zugriff auf das lokale Netzwerk hat und der CUPS-Dienst mit mDNS konfiguriert ist, kann er den Dienst über mDNS ausnutzen. Diese Konfiguration wirft jedoch zusätzliche Sicherheitsbedenken auf, die über diese Sicherheitslücke hinausgehen.
Die Anzahl der betroffenen Server, die von verschiedenen Quellen gemeldet wurde, unterscheidet sich erheblich, was zu einiger Verwirrung geführt hat. Dies liegt vor allem daran, dass die verschiedenen Quellen unterschiedliche Messmethoden anwenden.
Censyssucht, wie andere Internet-Scanner auch, nach CUPS-Diensten, die über TCP zugänglich sind.
Wir sehen 99.710 Hosts, die IPP-Dienste online bereitstellen (wodurch potenzielle Honeypots herausgefiltert werden).
Davon geben 60.831 Hosts an, dass sie CUPS verwenden.
Davon weisen 7.171 Hinweise darauf auf, dass eine Version von CUPS läuft, die von diesem CVE betroffen ist.
Diese Zahlen deuten darauf hin, dass die tatsächliche Zahl der gefährdeten Hosts unterschätzt wird, denn interessanterweise scheinen mehr CUPS-Dienste über UDP als über TCP zugänglich zu sein.
Einige unabhängige Forscher suchen direkt nach dieser Schwachstelle, indem sie einen Callback-Server einrichten, der einen gefälschten Drucker imitiert, und dann manipulierte UDP-Pakete senden, um zu sehen, welche Server sich mit diesem gefälschten Drucker verbinden. Dies ist im Allgemeinen die genaueste Methode, um festzustellen, ob ein Server derzeit verwundbar ist oder nicht.
Auch wenn es sich dabei technisch gesehen nicht um einen Exploit handelt, geht die Methode definitiv über das hinaus, wofür Censys entwickelt wurde: das Internet mit minimaler Interaktion zu scannen. Censys konzentriert sich auf das Sammeln und Analysieren von Daten auf eine Art und Weise, bei der die Transparenz der Ergebnisse im Vordergrund steht.
Welche Abhilfemaßnahmen sollten Benutzer ergreifen?
Zum Zeitpunkt der Erstellung dieses Artikels haben sowohl Ubuntu als auch Red Hat Patches für diese Schwachstelle entwickelt, wobei es sich jedoch hauptsächlich um Umgehungslösungen handelt.
In Ermangelung eines umfassenden Patches besteht die einfachste Abhilfemaßnahme darin, den cups-browsed-Dienst mit den folgenden Befehlen zu deaktivieren:
systemctl stop cups-browsed
systemctl cups-browsed deaktivieren
Wenn die Deaktivierung keine Option ist, kann das Blockieren des gesamten Datenverkehrs an den UDP-Port 631 zur Risikominderung beitragen, obwohl dies keinen Schutz vor Angriffen über mDNS im lokalen Netzwerk bietet.
Im Allgemeinen müssen Druckserver nicht mit dem öffentlichen Internet verbunden sein.