据外媒报道,最近一名叫Simone Margaritelli研究人员在Twitter/X上发出警告,称在Linux系统中发现了一个严重的安全漏洞。并表示这是一个影响所有Linux系统的CVSS 9.9级漏洞。
实际上,我们注意到,该Linux系统的安全漏洞,涉及到Common Unix Printing System(CUPS)。这个漏洞允许远程攻击者在满足特定条件下执行命令。CUPS是一个在Linux和其他类Unix系统中广泛使用的开源打印系统。漏洞主要存在于CUPS的cups-browsed守护进程中,该进程用于自动安装在本地网络上发现的打印机。
这里的诡异之处在于,这个传入请求可以包含作为IPP打印机驱动程序信息来源的任意URL。该IPP数据没有经过过滤,从而允许攻击者上传任意信息并创建文件。最糟糕的是,foomatic-rip驱动程序包含一个功能,即在打印过程中运行shell命令。
虽然这个漏洞的CVSS评分为9.9,但实际上它需要用户与恶意打印机进行交互,比如发送打印任务,才能触发代码执行。这意味着,如果用户的系统没有连接到互联网,或者没有启用cups-browsed服务,那么这个漏洞就不会被利用。但是,该漏洞已然引起了广泛关注,目前已有超过100,000个系统暴露了UDP端口631和cups-browsed服务到互联网。
目前,虽然没有针对这个漏洞的补丁,但是有一些缓解措施可以采取。用户可以禁用或移除cups-browsed服务,更新CUPS安装,以便在安全更新可用时引入安全更新,或者阻止对UDP端口631的访问,并考虑关闭DNS-SD。
此外,Red Hat已发布通知,提供了检查系统是否存在此问题的方法,并提醒用户不要将CUPS暴露到互联网。
用户可执行以下命令来检查自身的Linux系统是否收到这个漏洞的影响:
bash
sudo systemctl status cups-browsed
如果输出显示“631/udp open|filtered ipp”,则可能需要采取行动。可以使用nmap工具来远程检查机器是否暴露了这个服务:
bash
sudo nmap -sU -p 631 -v ip.address.of.machine
目前已经有概念验证(PoC)的代码泄露,因此建议用户检查并关闭任何暴露此服务的系统。
需要注意的是,这个漏洞并不是新发现的,它已经存在了十多年,影响几乎所有的GNU/Linux发行版。目前还没有修复补丁,但是可以通过上述措施来缓解风险。
编译来源:
https://hackaday.com/2024/09/27/this-week-in-security-password-sanity-tank-hacking-and-the-mystery-9-9/
京公网安备 11010802033237号
