Neseniai atskleistą „Common Unix Printing System“ (CUPS) atvirojo kodo spausdinimo sistemos pažeidžiamumą gali išnaudoti grėsmės veikėjai, kad galėtų pradėti paskirstytas paslaugų atsisakymo (DDoS) atakas su 600 kartų stiprinimo koeficientu.
Kaip nustatė „Akamai“ saugos tyrėjai, CVE-2024-47176 saugos trūkumą naršytame demone, kurį galima sujungti su trimis kitomis klaidomis, kad būtų galima nuotoliniu būdu vykdyti kodą „Unix“ tipo sistemose per vieną UDP paketą, taip pat galima sustiprinti DDoS. išpuolių.
Pažeidžiamumas suveikia, kai užpuolikas siunčia specialiai sukurtą paketą, apgaudinėdamas CUPS serverį, kad jis taikinį traktuotų kaip spausdintuvą, kurį reikia pridėti.
Kiekvienas paketas, išsiųstas į pažeidžiamus CUPS serverius, ragina juos generuoti didesnes IPP/HTTP užklausas, nukreiptas į tikslinį įrenginį. Tai paveikia ir tikslą, ir CUPS serverį, sunaudoja jų pralaidumą ir procesoriaus išteklius.
Prasideda nuo vieno kenkėjiško UDP paketo
Norėdami inicijuoti tokią ataką, kenkėjiškam veikėjui tereikia nusiųsti vieną paketą į atvirą ir pažeidžiamą CUPS paslaugą, kuri yra atskleista internete. „Akamai“ tyrėjai apskaičiavo, kad maždaug 58 000 serverių iš daugiau nei 198 000 veikiančių įrenginių gali būti įdarbinti DDoS atakoms.
Be to, šimtai pažeidžiamų įrenginių demonstravo „begalinę užklausų kilpą“, kai kurie CUPS serveriai pakartotinai siųsdavo užklausas gavę pradinį tyrimą, o kai kurie serveriai įeidavo į nesibaigiantį ciklą reaguodami į konkrečias HTTP/404 klaidas.
Daugelyje šių pažeidžiamų mašinų buvo naudojamos pasenusios CUPS versijos (dar 2007 m.), kurios yra lengvi taikiniai kibernetiniams nusikaltėliams, kurie gali jas išnaudoti kurdami botnetus per RCE grandinę arba panaudodami juos DDoS stiprinimui.
„Pagal blogiausią scenarijų mes stebėjome, kaip atrodė, begalinis bandymų prisijungti ir užklausų srautas dėl vieno tyrimo. Atrodo, kad šie srautai neturi pabaigos ir tęsis tol, kol demonas bus nužudytas arba paleistas iš naujo.” sakė Akamai tyrinėtojai.
„Daugelis šių sistemų, kurias stebėjome testuodami, sukūrė tūkstančius užklausų ir siuntė jas į mūsų testavimo infrastruktūrą. Kai kuriais atvejais atrodė, kad toks elgesys tęsėsi neribotą laiką.”
Sekundėms prireikė puolimui
Ši DDoS stiprinimo ataka taip pat reikalauja minimalių išteklių ir mažai laiko. Akamai perspėja, kad grėsmės veikėjas per kelias sekundes gali lengvai perimti kiekvienos atskleistos CUPS paslaugos kontrolę internete.
Administratoriams patariama įdiegti pataisas CVE-2024-47176 arba išjungti „Cuss“ naršymo paslaugą, kad būtų užblokuotos galimos atakos, kad sumažėtų rizika, kad jų serveriai bus įtraukti į robotų tinklą arba naudojami DDoS atakoms.
„DDoS tebėra gyvybingas atakų vektorius, naudojamas priekabiauti ir trikdyti aukas visame internete, nuo pagrindinių pramonės šakų ir vyriausybių iki mažų turinio kūrėjų, internetinių parduotuvių ir žaidėjų“, – perspėjo „Akamai“ tyrėjai.
„Nors pradinė analizė buvo sutelkta į RCE, kuri gali turėti sunkesnę baigtį, šiuo atveju taip pat lengvai piktnaudžiaujama DDoS stiprinimu.
Kaip šią savaitę atskleidė „Cloudflare“, jos DDoS gynybos sistemos turėjo apsaugoti klientus nuo didelio tūrio L3/4 DDoS atakų bangos, siekiančios 3,8 terabito per sekundę (Tbps), o tai yra didžiausia kada nors užfiksuota tokia ataka.