Contexte
Quatre vulnérabilités dans le Common Unix Printing System (CUPS), un utilitaire d'impression commun à de nombreuses distributions Linux, ont fait des vagues en ligne au cours de la semaine dernière - principalement en raison de son processus de divulgation inhabituel et des désaccords sur sa gravité et ses détails techniques sur les médias sociaux.
L'une de ces vulnérabilités en particulier, CVE-2024-47176, a attiré beaucoup d'attention en raison de sa cote de gravité non officielle de 9,9 et de sa description comme un "RCE non authentifié affectant tous les systèmes GNU/Linux" dans un post sur X par le chercheur en sécurité Simone Margaritelli (@evilsocket) le 23 septembre. Avant sa divulgation, il a commencé à être comparé à Heartbleed et Log4Shell en termes de portée et de gravité potentielles pour l'internet.
Toutefois, après l'apparition de nouveaux détails techniques au cours de la semaine suivante, il est apparu clairement que le risque réel était moins important qu'on ne le pensait à l'origine. Il n'en reste pas moins qu'il a des conséquences importantes s'il est exploité.
Nous avons d'abord présenté notre point de vue dans notre avis de réponse rapide de vendredi dernier. Nous présentons ci-dessous les principaux détails de cette vulnérabilité et ce que vous devez savoir et attendre.
Quel est le risque réel ?
En termes simplifiés, CVE-2024-47176 permet aux attaquants d'exploiter le service d'impression CUPS en envoyant un paquet non authentifié spécialement conçu à son port UDP. Cela permet de tromper le service en le connectant à une imprimante malveillante. Si la victime tente alors d'imprimer quelque chose sur cette imprimante, l'attaquant peut réaliser une exécution de code à distance (RCE) sur le système cible.
Il est important de noter qu'il ne s'agit pas actuellement d'une attaque "zéro clic", car une exploitation réussie semble nécessiter l'interaction de l'utilisateur dans la majorité des cas - en particulier, le déclenchement de la tâche d'impression. Le chercheur qui a découvert cette vulnérabilité a laissé entendre sur les médias sociaux que l'exploitation pourrait être possible sans interaction de l'utilisateur, en fonction de l'appareil cible. Bien qu'une preuve de concept soit disponible, il y a peu d'informations sur l'exploitation active de cette vulnérabilité ou sur la nature de ces tentatives d'exploitation.
Néanmoins, cette vulnérabilité est préoccupante car, si elle est exploitée, elle peut avoir de graves conséquences, notamment la compromission totale du système et des mouvements latéraux au sein d'un réseau. En outre, CUPS étant largement utilisé dans les dispositifs intégrés et les logiciels tiers, il est possible que cette vulnérabilité soit exploitée en tant qu'élément d'une chaîne dans le cadre d'attaques futures ciblant le même problème sous-jacent.
Mesurer la portée des systèmes vulnérables
Il existe deux groupes principaux d'hôtes qui sont plus susceptibles d'être ciblés par CVE-2024-47176 :
- Remote Targets: These are hosts that expose a vulnerable CUPS version (<= 2.0.1) to the public internet while running the affected cups-browsed service. This configuration puts them at risk from remote attackers.
- Cibles locales : Si un attaquant a accès au réseau local et que le service CUPS est configuré avec mDNS, il peut exploiter le service via mDNS. Cependant, cette configuration soulève d'autres problèmes de sécurité qui vont au-delà de cette vulnérabilité.
Il y a eu des différences notables dans le nombre de serveurs affectés signalés par diverses sources, ce qui a créé une certaine confusion. Cela s'explique principalement par le fait que les méthodes de mesure diffèrent d'une source à l'autre.
Censyscomme d'autres scanners Internet, recherche les services CUPS exposés via TCP.
Nous constatons que 99 710 hôtes exposent les services IPP en ligne (en filtrant les pots de miel potentiels).
Parmi eux, 60 831 hôtes indiquent qu'ils utilisent CUPS.
Parmi eux, 7 171 montrent des signes d'exécution d'une version de CUPS affectée par ce CVE.
Ces chiffres ont montré des signes de sous-estimation du nombre réel d'hôtes vulnérables, car, de manière intéressante, davantage de services CUPS semblent être accessibles via UDP que via TCP.
Certains chercheurs indépendants recherchent directement cette vulnérabilité en mettant en place un serveur de rappel pour imiter une fausse imprimante, puis en envoyant des paquets UDP élaborés pour voir quels serveurs se connectent à cette fausse imprimante. C'est généralement la manière la plus précise de confirmer si un serveur est vulnérable ou non à l'heure actuelle.
Bien que ce qui précède ne soit pas techniquement un exploit, la méthodologie va bien au-delà de ce pour quoi Censys a été conçu : scanner l'internet avec une interaction minimale. Censys se concentre sur la collecte et l'analyse de données d'une manière qui donne la priorité à la transparence de ses résultats.
Quelles mesures d'atténuation les utilisateurs doivent-ils prendre ?
À l'heure où nous écrivons ces lignes, Ubuntu et Red Hat ont tous deux développé des correctifs pour cette vulnérabilité, bien qu'il s'agisse principalement de solutions de contournement.
En l'absence d'un correctif complet, la solution la plus simple consiste à désactiver le service cups-browsed à l'aide des commandes suivantes :
systemctl stop cups-browsed
systemctl disable cups-browsed
Si la désactivation n'est pas possible, le blocage de tout le trafic vers le port UDP 631 peut contribuer à atténuer les risques, bien que cela ne protège pas contre les attaques du réseau local via le mDNS.
En général, les serveurs d'impression n'ont pas besoin d'être connectés à l'internet public.
