Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
976
)
-
▼
septiembre
(Total:
50
)
- Estafadores bancarios ya usan IA para replicar la ...
- Infostealers evitan las nuevas defensas contra el ...
- Multa a Meta por almacenar millones de contraseñas...
- Microsoft bloqueará keyloggers en Windows, aunque ...
- Una vulnerabilidad en el portal y APIs de KIA perm...
- Intel localiza la raíz de los fallos de estabilida...
- El Proyecto Tor y Tails se fusionan: «unidos por l...
- Múltiples vulnerabilidades en OpenPrinting CUPS
- Orion: las primeras gafas de realidad aumentada de...
- Meta presenta Llama 3.2, su IA de código abierto c...
- Ordenan a Google que desinstale de forma remota la...
- Disney abandona Slack tras haber sufrido un hackeo...
- Google Earth y Maps se actualiza para poder retroc...
- Vulnerabilidad crítica en GNU/Linux en espera de d...
- Google TV Streamer, análisis: el sucesor del Chrom...
- Ransomware RansomHub
- Cómo convertir una partición de Windows de MBR a G...
- Explotan vulnerabilidad Zero-Day en Windows ya par...
- Un malware chino ha infectado 2.000 dispositivos e...
- Operación Kaerb: cae red criminal de phishing en A...
- Repsol sufre un ciberataque a con filtración de su...
- Un padre instala una cámara en la cabeza de su hij...
- Ransomware llamado "Hazard" ha llamado la atención...
- PKfail compromete la seguridad de Secure Boot en P...
- YouTube anuncia novedades, incluyendo comunidades ...
- Lynx Ransomware activo en Latinoamérica
- Explosión simultánea de centenares de 'buscas' de ...
- Microsoft publica Office LTSC 2024
- Google One Lite: de 15GB a 30GB por menos dinero
- Google Photos: convertir fotos y vídeos a calidad ...
- Arrestado adolescente de 17 años involucrado en el...
- Fortinet confirma robo de 440 GB de datos
- Signal vs. Session vs. Telegram vs. WhatsApp. ¿Cuá...
- Una vulnerabilidad SQLi compromete la seguridad de...
- Mitigar ataques DDoS en un servidor web usando Fai...
- Avis sufre un ciberataque que expone información p...
- El Tribunal de la UE confirma una multa de 2.424 m...
- Autopsy: herramienta forense
- Google leerá los mensajes SMS recibidos para entre...
- 50 años de SQL
- Vulnerabilidad crítica en el complemento LiteSpeed...
- Telegram permitirá reportar conversaciones con con...
- Acusan a un productor musical de utilizar cancione...
- Mejores herramientas para redactar textos con inte...
- El Nothing Phone (2a) Plus llega a España con un p...
- Acer presenta una nueva consola portátil, la Nitro...
- Bluetooth 6 ya es oficial, trae mejoras de eficien...
- Troyano NGate de Android clona datos NFC de tarjet...
- Microsoft Recall no podrá ser desinstalado de Wind...
- Una empresa socia de Facebook admite que pueden es...
-
▼
septiembre
(Total:
50
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git , esté e...
-
Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software ...
Múltiples vulnerabilidades en OpenPrinting CUPS
Se han declarado varias vulnerabilidades críticas de Linux, relacionadas con un fallo en CUPS, el sistema de impresión común de UNIX. Todas las versiones de Red Hat Enterprise Linux (RHEL) se encuentran entre las distribuciones de Linux afectadas, pero no en la configuración por defecto.
OpenPrinting CUPS (Common UNIX Printing System)
Simone Margaritelli, conocido investigador de seguridad informática y creador de numerosas herramientas utilizadas en ciberseguridad, fue el primero en informar sobre las CVE. El 23 de septiembre publicó por primera vez sobre los CVEs en X, afirmando que tienen una puntuación CVSS de 9,9/10 y más tarde detalló los CVEs el 26 de septiembre.
CUPS puede utilizar «filtros», ejecutables que pueden utilizarse para convertir documentos. La parte responsable («cups-filters») acepta datos no verificados que luego pueden ser ejecutados como parte de una operación de filtro. Un atacante puede utilizar esta vulnerabilidad para inyectar una «impresora» maliciosa. El código malicioso se activa cuando un usuario utiliza esta impresora para imprimir un documento. Esto tiene poco o ningún impacto si CUPS no está escuchando en el puerto 631, y el sistema no se utiliza para imprimir documentos (como la mayoría de los servidores). Un atacante puede, sin embargo, ser capaz de activar la operación de impresión de forma remota. En la red local, esto es explotable a través del descubrimiento del servicio DNS. Se ha puesto a disposición un exploit de prueba de concepto.
De momento no hay parche. Deshabilite y elimine cups-browserd (probablemente no lo necesite). Actualice CUPS a medida que haya actualizaciones disponibles. Detener el tráfico UDP en el puerto 631.
Resumen
CVE-2024-47176
Se trata de una vulnerabilidad en cups-browsed (hasta la versión 2.0.1). Este demonio escucha paquetes UDP en el puerto 631. cups-browsed utiliza el descubrimiento de servicios DNS para descubrir automáticamente impresoras y ponerlas a disposición del usuario. Como parte del intercambio con las impresoras, recibirá varias URL que puede utilizar para recuperar información adicional. Estas URL no se validan correctamente, lo que permite a los atacantes engañar a cups-browsed para que solicite URL arbitrarias.
CVE-2024-47076
libcupsfilters (hasta la versión 2.1b1) reemplaza una arquitectura de filtros antigua. Se podía utilizar para modificar («filtrar») archivos para ajustar formatos y hacerlos imprimibles en una impresora específica. Al igual que el problema anterior, está sujeto a que el atacante proporcione datos maliciosos que se pasarán a otros componentes de CUPS.
CVE-2024-47115
libppd (hasta la versión 2.1b1) tampoco valida los atributos IPP y los añade al archivo PPD que luego se pasa a los controladores y otros componentes.
CVE-2024-47177
cups-filters (2.0.1) es la parte que permitirá la ejecución arbitraria de comandos desencadenada por parámetros PPD no válidos. cups-filters ejecuta código externo («filtros») para convertir archivos. Al aceptar datos de fuentes externas no verificadas, se puede ejecutar código arbitrario. En particular, el filtro «foomatic-rip» permite al atacante proporcionar una línea de comandos arbitraria.
Recursos Afectados
- CVE-2024-47176: cups-browsed, versiones 2.0.1 y anteriores;
- CVE-2024-47076: libcupsfilters, versiones 2.1b1 y anteriores;
- CVE-2024-47175: libppd, versiones 2.1b1 y anteriores;
- CVE-2024-47177: cups-filters, versiones 2.0.1 y anteriores.
En el artículo del investigador aporta también información sobre sistemas afectados.
Para que un sistema sea vulnerable, debe tener habilitado el daemon de cups-browsed, que por defecto aparece no habilitado, para exponer sus puertos UDP en la red. Además, el atacante debería engañar a un usuario para que realizase una impresión desde un servidor de impresión malicioso en su red local.
Descripción
El investigador, Simone EvilSocket Margaritelli, ha publicado un artículo en el que describe 4 vulnerabilidades, 1 de severidad crítica y 3 altas, que afectan a OpenPrinting CUPS (Common UNIX Printing System), un sistema de impresión de código abierto presente en la mayoría de las distribuciones Linux actuales. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código, lo que podría conducir al robo de datos confidenciales y/o dañar sistemas de producción críticos. En concreto, el atacante podría reemplazar URL de IPP (Internet Printing Protocol) de impresoras ya existentes (o instalar nuevas) por otras maliciosas, permitiendo la ejecución de comandos arbitrarios cuando se inicia el trabajo de impresión.
Solución
En el artículo del investigador se aportan unas medidas de mitigación para abordar estas vulnerabilidades.
El equipo de seguridad de Canonical ha publicado actualizaciones para los paquetes cups-browsed, cups-filters, libcupsfilters y libppd para todas las versiones de Ubuntu LTS bajo soporte estándar.
Existen medidas de mitigación compartidas por RedHat, para detener la ejecución del servicio cups-browsed y evitar que se inicie al reiniciar:
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
Asimismo, para comprobar si cups-browsed está en ejecución en el sistema (el sistema no será vulnerable si el comando muestra la salida por pantalla Active: inactive (dead)):
sudo systemctl status cups-browsed
Adicionalmente, Ubuntu recomienda actualizar todos los paquetes, y seguidamente reiniciar el daemon de CUPS:
sudo apt update && sudo apt upgrade
sudo systemctl restart cups.service
Si esto no es posible, se pueden seleccionar los componentes afectados:
sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc
sudo systemctl restart cups
Detalles
Las vulnerabilidades identificadas se describen a continuación, siendo las 3 primeras de severidad alta y la última crítica:
Debido a la vinculación del servicio a *:631 ( INADDR_ANY ), múltiples fallos en cups-browsed podrían ser explotados para introducir una impresora maliciosa en el sistema, permitiendo a un atacante ejecutar comandos arbitrarios de forma remota en la máquina de destino sin autenticación cuando se inicia un trabajo de impresión. Se ha asignado el identificador CVE-2024-47176 para esta vulnerabilidad.
La función cfGetPrinterAttributes5 en libcupsfilters no sanea los atributos IPP devueltos desde un servidor IPP. Cuando estos atributos IPP se utilizan, se pueden proporcionar datos controlados por un atacante al resto del sistema CUPS. Se ha asignado el identificador CVE-2024-47076 para esta vulnerabilidad.
La función ppdCreatePPPDFromIPP2 de libppd no sanea los atributos IPP al crear el búfer PPD (PostScript Printer Description). Cuando se utiliza en combinación con otras funciones como cfGetPrinterAttributes5, podría conllevar una ejecución de código a través de Foomatic. Se ha asignado el identificador CVE-2024-47175 para esta vulnerabilidad.
Cualquier valor pasado a FoomaticRIPCommandLine a través de un fichero PPD será ejecutado como un comando controlado por el usuario en cups-filters, permitiendo a un atacante remoto ejecutar código. Se ha asignado el identificador CVE-2024-47177 para esta vulnerabilidad.
Fuentes:
Boletín de avisos de INCIBE-CERT
https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Remediation
https://ubuntu.com/blog/cups-remote-code-execution-vulnerability-fix-available
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Affected-Systems
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.