Недавно была обнаружена критическая уязвимость, угрожающая всем системам GNU/Linux, которая позволяет выполнять код  удаленно без аутентификации. Проблема затронула такие компании, как Canonical и Red Hat, и получила оценку 9.9 из 10 по шкале CVSS, что подтверждает её серьёзность. Пока патч не выпущен, разработчики и пользователи находятся в состоянии неопределенности, опасаясь возможных последствий. 

В новом переводе от команды Spring АйО приводятся подробности о сроках раскрытия деталей уязвимости и предлагаются временные меры для защиты систем.

Известный исследователь в области безопасности Симоне Маргарителли обнаружил критическую уязвимость, затрагивающую все системы GNU/Linux (потенциально и другие), которая позволяет выполнять код удаленно без аутентификации (RCE). Компании Canonical и Red Hat подтвердили серьёзность уязвимости, присвоив ей оценку 9,9 из 10 по шкале CVSS.

Маргарителли сообщил об уязвимости три недели назад, но не раскрывал деталей, чтобы дать разработчикам время на исправление. Однако на данный момент рабочего патча всё еще нет. Раскрытие информации о деталях уязвимости запланировано следующим образом:

• 30 сентября: Рассылка в список безопасности Openwall.

• 6 октября: Полное публичное раскрытие деталей уязвимости.

Задержка в присвоении идентификатора CVE (Common Vulnerabilities and Exposures) вызывает вопросы. Маргарителли считает, что должно быть присвоено от трех до шести CVE из-за сложности проблемы.

Canonical и Red Hat подтвердили высокую серьезность уязвимости и работают над патчами. Однако, как сообщается, некоторые разработчики ведут споры о влиянии отдельных аспектов уязвимостей, что может способствовать задержке выпуска исправления.

Отсутствие подробной информации оставляет как отдельных пользователей, так и экспертов по безопасности в состоянии повышенной тревоги. Не зная, какие именно компоненты, функции или версии подвержены риску, организации не могут принять проактивные меры для защиты своих систем.

Кроме того, отсутствие присвоенного идентификатора CVE ставит под сомнение координацию и взаимодействие между исследователями в области безопасности, поставщиками и организациями, ответственными за ведение реестров уязвимостей.

Хотя оценка 9.9 по CVSS указывает на критическую серьезность, важно подходить к ситуации взвешенно. Не все уязвимости с высоким уровнем серьезности легко применить в реальных условиях. Например:

• CVE-2024-7589: Уязвимость RCE через SSH, первоначально оцененная в 9.8, позже была пересмотрена до 8.1 из-за сложности её применения.

• CVE-2024-38063: Уязвимость RCE в Windows с оценкой 9.8 привлекла большое внимание, но после тщательного анализа специалистами по безопасности была признана очень трудной для применения.

Эти примеры подчеркивают важность детального технического анализа для полного понимания влияния уязвимости.

Ожидая полного раскрытия деталей уязвимости и последующих патчей, пользователям и администраторам следует:

• Следите за обновлениями от надежных источников и ожидайте официальных сообщений разработчиков.

• Усильте текущие меры безопасности: брандмауэры, системы обнаружения вторжений.

• Будьте готовы быстро установить патчи, когда они станут доступны.

UPD 1:

26 сентября – Новые обнаруженные уязвимости в CUPS, популярном сервере печати, используемом в Linux и на других платформах, вызвали беспокойство среди экспертов по безопасности. Уязвимости, обнаруженные Симоне Маргарителли и затрагивающие CUPS на разных операционных системах, включая дистрибутивы Linux, варианты BSD, Oracle Solaris и Google Chrome OS, могут позволить удаленным атакующим взять под контроль системы. С такими CVE, как CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177, администраторам рекомендуется действовать незамедлительно.

Маргарителли подробно описал в своем блоге, как эти ошибки позволяют удаленному неаутентифицированному атакующему заменить существующие URL-адреса IPP (Internet Printing Protocol) принтеров или установить новые вредоносные. Опасность в том, что произвольные команды могут выполняться на машине жертвы, когда она запускает задание печати.

Что делает эту уязвимость еще более тревожной, так это то, что эксплуатация может происходить удалённо через публичный интернет с помощью простого UDP-пакета на порт 631, если этот порт открыт на сетевом фаерволе. Благодаря этому возможны атаки внутри локальных сетей, где атакующие могут подделывать объявления zeroconf, mDNS или DNS-SD.

Хотя ядро Linux не затронуто, сервер печати CUPS широко используется в различных системах, что увеличивает потенциальное воздействие. На данный момент нет доступного патча для Linux, который бы устранял эту проблему, что оставляет многие системы уязвимыми.

Для эксплуатации этих уязвимостей необходимы следующие условия:

• Служба cups-browsed должна быть вручную включена или запущена.

• Злоумышленник должен иметь доступ к уязвимой системе через:

  • Неограниченный публичный доступ в интернет, или

  • Доступ к внутренней сети, где локальные подключения считаются доверенными.

• Злоумышленник предоставляет вредоносный IPP-сервер, создавая поддельный принтер.

• Пользователь на машине жертвы отправляет задание на печать на вредоносный принтер.

• Злоумышленник использует эту возможность для выполнения произвольного кода на машине жертвы.

Эта цепочка событий приводит к удаленному выполнению кода, что может позволить злоумышленникам украсть конфиденциальную информацию или повредить критически важные системы. Еще более тревожно то, что атака может произойти без какого-либо взаимодействия, кроме отправки задания на печать со стороны жертвы, основываясь на доверии внутри локальной сети или используя общедоступные точки доступа.

Red Hat, одна из организаций, чьи системы затронуты этой группой уязвимостей, опубликовала подробный ответ. Red Hat классифицирует серьезность этих уязвимостей как "Important", хотя уточняет, что системы RHEL не уязвимы в своей стандартной конфигурации.

Чтобы проверить, подвержена ли ваша система риску, Red Hat рекомендует проверить статус cups-browsed:

$ sudo systemctl status cups-browsed

Если вывод показывает "Active: inactive (dead)", система не уязвима. Однако, если cups-browsed запущен или включен, и директива BrowseRemoteProtocols включает в себя "cups", система уязвима.

Чтобы защитить системы от этих уязвимостей, администраторам рекомендуется остановить службу cups-browsed следующей командой:

$ sudo systemctl stop cups-browsed

Дополнительно, чтобы предотвратить запуск службы при перезагрузке, важно выполнить:

$ sudo systemctl disable cups-browsed

Блокировка трафика на UDP-порт 631: Если отключение cups-browsed невозможно, блокировка всего трафика на UDP-порт 631 может снизить риск.

$ sudo iptables -A INPUT -p tcp –dport 631 -j DROP

$ sudo iptables -A INPUT -p udp –dport 631 -j DROP

В средах, где печать не требуется, эти шаги следует выполнить немедленно, чтобы снизить риск атаки. Red Hat и другие вендоры в сообществе Linux активно работают над разработкой патчей для устранения уязвимостей, но до тех пор отключение cups-browsed и обновление CUPS являются лучшими мерами защиты.

UPD 2:

Маргарителли разработал Proof-of-Concept (PoC) для CVE-2024-47176, который доступен в GitHub Advisory. Еще один PoC, основанный на коммите в репозитории OpenPrinting CUPS, также был опубликован на GitHub.

По состоянию на 26 сентября Shodan.io показал более 75 000 интернет-доступных хостов работающих с CUPS. Поисковая система FOFA обнаружила более 270,000 уникальных IP-адресов, из которых почти 70,000 связаны непосредственно с IPP. Это указывает на значительное количество хостов с доступом из интернета, большинство из которых используют порт по умолчанию 631.

Все сообщения об уязвимости и баги:

• https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8

• https://github.com/OpenPrinting/libcupsfilters/security/advisories/GHSA-w63j-6g73-wmg5

• https://github.com/OpenPrinting/libppd/security/advisories/GHSA-7xfx-47qg-grp6

• https://github.com/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47

OpenPrinting также начала публиковать исправления:

• CVE-2024-47175: https://github.com/OpenPrinting/libppd/commit/d681747ebf

• CVE-2024-47076: https://github.com/OpenPrinting/libcupsfilters/commit/95576ec3

• A temporary workaround for CVE-2024-47176 in: https://github.com/OpenPrinting/cups-browsed/commit/1debe6b140c

Присоединяйтесь к русскоязычному сообществу разработчиков на Spring Boot в телеграм — Spring АйО, чтобы быть в курсе последних новостей из мира разработки на Spring Boot и всего, что с ним связано.

Ждем всех, присоединяйтесь