Se han declarado varias vulnerabilidades críticas de Linux, relacionadas con un fallo en CUPS, el sistema de impresión común de UNIX. Todas las versiones de Red Hat Enterprise Linux (RHEL) se encuentran entre las distribuciones de Linux afectadas, pero no en la configuración por defecto. 

OpenPrinting CUPS (Common UNIX Printing System)

Simone Margaritelli, conocido investigador de seguridad informática y creador de numerosas herramientas utilizadas en ciberseguridad, fue el primero en informar sobre las CVE. El 23 de septiembre publicó por primera vez sobre los CVEs en X, afirmando que tienen una puntuación CVSS de 9,9/10 y más tarde detalló los CVEs el 26 de septiembre.

CUPS puede utilizar «filtros», ejecutables que pueden utilizarse para convertir documentos. La parte responsable («cups-filters») acepta datos no verificados que luego pueden ser ejecutados como parte de una operación de filtro. Un atacante puede utilizar esta vulnerabilidad para inyectar una «impresora» maliciosa. El código malicioso se activa cuando un usuario utiliza esta impresora para imprimir un documento. Esto tiene poco o ningún impacto si CUPS no está escuchando en el puerto 631, y el sistema no se utiliza para imprimir documentos (como la mayoría de los servidores). Un atacante puede, sin embargo, ser capaz de activar la operación de impresión de forma remota. En la red local, esto es explotable a través del descubrimiento del servicio DNS. Se ha puesto a disposición un exploit de prueba de concepto.

De momento no hay parche. Deshabilite y elimine cups-browserd (probablemente no lo necesite). Actualice CUPS a medida que haya actualizaciones disponibles. Detener el tráfico UDP en el puerto 631.

Resumen

CVE-2024-47176

Se trata de una vulnerabilidad en cups-browsed (hasta la versión 2.0.1). Este demonio escucha paquetes UDP en el puerto 631. cups-browsed utiliza el descubrimiento de servicios DNS para descubrir automáticamente impresoras y ponerlas a disposición del usuario. Como parte del intercambio con las impresoras, recibirá varias URL que puede utilizar para recuperar información adicional. Estas URL no se validan correctamente, lo que permite a los atacantes engañar a cups-browsed para que solicite URL arbitrarias.

CVE-2024-47076

libcupsfilters (hasta la versión 2.1b1) reemplaza una arquitectura de filtros antigua. Se podía utilizar para modificar («filtrar») archivos para ajustar formatos y hacerlos imprimibles en una impresora específica. Al igual que el problema anterior, está sujeto a que el atacante proporcione datos maliciosos que se pasarán a otros componentes de CUPS.

CVE-2024-47115

libppd (hasta la versión 2.1b1) tampoco valida los atributos IPP y los añade al archivo PPD que luego se pasa a los controladores y otros componentes.

CVE-2024-47177

cups-filters (2.0.1) es la parte que permitirá la ejecución arbitraria de comandos desencadenada por parámetros PPD no válidos. cups-filters ejecuta código externo («filtros») para convertir archivos. Al aceptar datos de fuentes externas no verificadas, se puede ejecutar código arbitrario. En particular, el filtro «foomatic-rip» permite al atacante proporcionar una línea de comandos arbitraria.

Recursos Afectados

• CVE-2024-47176: cups-browsed, versiones 2.0.1 y anteriores;
• CVE-2024-47076: libcupsfilters, versiones 2.1b1 y anteriores;
• CVE-2024-47175: libppd, versiones 2.1b1 y anteriores;
• CVE-2024-47177: cups-filters, versiones 2.0.1 y anteriores.

En el artículo del investigador aporta también información sobre sistemas afectados.

Para que un sistema sea vulnerable, debe tener habilitado el daemon de cups-browsed, que por defecto aparece no habilitado, para exponer sus puertos UDP en la red. Además, el atacante debería engañar a un usuario para que realizase una impresión desde un servidor de impresión malicioso en su red local.

Descripción

El investigador, Simone EvilSocket Margaritelli, ha publicado un artículo en el que describe 4 vulnerabilidades, 1 de severidad crítica y 3 altas, que afectan a OpenPrinting CUPS (Common UNIX Printing System), un sistema de impresión de código abierto presente en la mayoría de las distribuciones Linux actuales. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código, lo que podría conducir al robo de datos confidenciales y/o dañar sistemas de producción críticos. En concreto, el atacante podría reemplazar URL de IPP (Internet Printing Protocol) de impresoras ya existentes (o instalar nuevas) por otras maliciosas, permitiendo la ejecución de comandos arbitrarios cuando se inicia el trabajo de impresión.

Solución

En el artículo del investigador se aportan unas medidas de mitigación para abordar estas vulnerabilidades.

El equipo de seguridad de Canonical ha publicado actualizaciones para los paquetes cups-browsed, cups-filters, libcupsfilters y libppd para todas las versiones de Ubuntu LTS bajo soporte estándar.

Existen medidas de mitigación compartidas por RedHat, para detener la ejecución del servicio cups-browsed y evitar que se inicie al reiniciar:

sudo systemctl stop cups-browsed

sudo systemctl disable cups-browsed

Asimismo, para comprobar si cups-browsed está en ejecución en el sistema (el sistema no será vulnerable si el comando muestra la salida por pantalla Active: inactive (dead)):

sudo systemctl status cups-browsed

Adicionalmente, Ubuntu recomienda actualizar todos los paquetes, y seguidamente reiniciar el daemon de CUPS:

sudo apt update && sudo apt upgrade

sudo systemctl restart cups.service

Si esto no es posible, se pueden seleccionar los componentes afectados:

sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc

sudo systemctl restart cups

Detalles

Las vulnerabilidades identificadas se describen a continuación, siendo las 3 primeras de severidad alta y la última crítica:

Debido a la vinculación del servicio a *:631 ( INADDR_ANY ), múltiples fallos en cups-browsed podrían ser explotados para introducir una impresora maliciosa en el sistema, permitiendo a un atacante ejecutar comandos arbitrarios de forma remota en la máquina de destino sin autenticación cuando se inicia un trabajo de impresión. Se ha asignado el identificador CVE-2024-47176 para esta vulnerabilidad.

La función cfGetPrinterAttributes5 en libcupsfilters no sanea los atributos IPP devueltos desde un servidor IPP. Cuando estos atributos IPP se utilizan, se pueden proporcionar datos controlados por un atacante al resto del sistema CUPS. Se ha asignado el identificador CVE-2024-47076 para esta vulnerabilidad.

La función ppdCreatePPPDFromIPP2 de libppd no sanea los atributos IPP al crear el búfer PPD (PostScript Printer Description). Cuando se utiliza en combinación con otras funciones como cfGetPrinterAttributes5, podría conllevar una ejecución de código a través de Foomatic. Se ha asignado el identificador CVE-2024-47175 para esta vulnerabilidad.

Cualquier valor pasado a FoomaticRIPCommandLine a través de un fichero PPD será ejecutado como un comando controlado por el usuario en cups-filters, permitiendo a un atacante remoto ejecutar código. Se ha asignado el identificador CVE-2024-47177 para esta vulnerabilidad.

Fuentes:
Boletín de avisos de INCIBE-CERT

https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Remediation

https://ubuntu.com/blog/cups-remote-code-execution-vulnerability-fix-available

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Affected-Systems

https://www.upwind.io/feed/critical-9-9-linux-bug-exposes-containers-hosts-and-endpoints-to-remote-code-execution-rce-exploits