Naujas skaitytuvas aptinka Linux, UNIX serverius, paveiktus CUPS RCE atakų


Išleistas automatizuotas skaitytuvas, padedantis saugos specialistams nuskaityti aplinką, ar nėra įrenginių, pažeidžiamų dėl bendros Unix spausdinimo sistemos (CUPS) RCE defekto, stebimo kaip CVE-2024-47176.

Trūką, leidžiantį užpuolikams savavališkai nuotoliniu būdu vykdyti kodą, jei tenkinamos tam tikros sąlygos, praėjusio mėnesio pabaigoje atskleidė jį aptikęs asmuo Simone Margaritelli.

Nors realiame pasaulyje jo RCE aspektas atrodo ribotas dėl išankstinių išnaudojimo sąlygų, vėliau Akamai parodė, kad CVE-2024-47176 taip pat atvėrė galimybę 600 kartų sustiprinti paskirstytų paslaugų atsisakymo (DDoS) atakas.

Skaitytuvą sukūrė kibernetinio saugumo tyrinėtojas Marcusas Hitchinsas (dar žinomas kaip „MalwareTech“), kuris sukūrė skaitytuvą, kad padėtų sistemos administratoriams nuskaityti savo tinklus ir greitai atpažinti įrenginius, kuriuose veikia pažeidžiamos CUPS-naršytos paslaugos.

„Pažeidžiamumas kyla dėl to, kad cups-browsed sujungia savo valdymo prievadą (UDP 631 prievadą) su INADDR_ANY, pateikdamas jį pasauliui. Kadangi užklausos nėra autentifikuotos, kiekvienas, galintis pasiekti valdymo prievadą, gali nurodyti cups-browsed atlikti spausdintuvą. atrado“.

„Tais atvejais, kai prievadas nepasiekiamas iš interneto (dėl ugniasienės ar NAT), jis vis tiek gali būti pasiekiamas per vietinį tinklą, todėl privilegijos gali padidėti ir judėti į šoną.

„Dėl šios priežasties sukūriau šį skaitytuvą, skirtą vietiniame tinkle nuskaityti, ar nėra pažeidžiamų puodelių naršytų atvejų. – Marcusas Hitchinsas

Kaip veikia skaitytuvas

Python scenarijus (cups_scanner.py) nuskaitymo aparate nustato HTTP serverį, kuris klauso gaunamų HTTP užklausų (atgalinių skambučių) iš tinklo įrenginių.

CVE-2024-47176 atsiranda naršant CUPS (CUPS demono dalis), susiejant savo valdymo prievadą (UDP 631 prievadą) su INADDR_ANY, atveriant prievadą tinkle ir leidžiant bet kuriai sistemai siųsti jam komandas.

Skaitytuvas siunčia tinkintą UDP paketą tinklo transliavimo adresu per 631 prievadą, siunčiamą kiekvienu IP adresu nurodytame diapazone, nurodydamas CUPS egzemplioriams siųsti užklausą atgal.

Jei įrenginys, kuriame veikia pažeidžiamas puodelių naršymo egzempliorius, gauna UDP paketą, jis interpretuos užklausą ir išsiųs HTTP atgalinį skambutį serveriui, todėl tik tie, kurie atsako, bus pažymėti kaip pažeidžiami.

Nuskaitymo pavyzdys ir rezultatai
Nuskaitymo pavyzdys ir rezultatai
Šaltinis: GitHub

Rezultatai įrašomi į du žurnalus: viename (cups.log), kuriame yra atsakiusių įrenginių IP adresai ir CUPS versija, o kitame (requests.log) yra neapdorotos HTTP užklausos, kurias gavo atgalinio skambinimo serveris, kurios gali būti naudojamos gilesnei analizei. .

Naudodami šį skaitytuvą, sistemos administratoriai gali planuoti ir vykdyti tikslinius pataisymo ar konfigūravimo veiksmus, sumažindami CVE-2024-47176 poveikį internete.

„BleepingComputer“ neišbandė scenarijaus ir negali garantuoti jo veiksmingumo ar saugumo, todėl turėtumėte jį naudoti savo rizika.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -