CUPS: как найти устройства, уязвимые для RCE и DDoS за 5 минут

Исследователь кибербезопасности Маркус Хитчинс, известный как MalwareTech, выпустил автоматизированный сканер для выявления уязвимых серверов Linux и UNIX , которые подвержены атаке через уязвимость CUPS , зарегистрированную как CVE-2024-47176. Этот инструмент способен помочь системным администраторам находить устройства с включённой службой cups-browsed, которые при определённых условиях могут подвергнуться удалённому выполнению кода ( RCE ).

Об уязвимости впервые стало известно в прошлом месяце благодаря исследователю безопасности Симоне Маргарителли, обнаружившему данную проблему. Несмотря на то, что возможность эксплуатации RCE в реальных условиях ограничена, исследователи из Akamai заявили, что данная уязвимость также может использоваться для многократного усиления DDoS -атак, вплоть до 600 раз.

Суть проблемы заключается в том, что служба cups-browsed привязывает свой управляющий порт (UDP 631) к любому доступному сетевому интерфейсу, делая его доступным для любых систем. При отсутствии соответствующей аутентификации любой пользователь сети может отправить команды через этот порт.

Созданный Хитчинсом сканер использует сценарий на Python, помогающий системным администраторам сканировать локальные сети и выявлять устройства с уязвимыми версиями CUPS. По словам разработчика, даже если порт недоступен через интернет из-за брандмауэров или NAT, он всё равно может быть доступен в локальной сети, что открывает возможности для повышения привилегий и бокового перемещения.

Принцип работы сканера заключается в отправке специальных UDP-пакетов на сетевые адреса в заданном диапазоне, после чего уязвимые устройства отправляют обратный запрос на сервер, указывая на наличие проблемы. Результаты сканирования сохраняются в двух логах: первый содержит IP-адреса и версию CUPS уязвимых устройств, второй — подробную информацию об отправленных HTTP-запросах, что позволяет проводить более глубокий анализ.

Использование этого сканера поможет администраторам систем заранее планировать исправления и минимизировать риск эксплуатации уязвимости CVE-2024-47176.

Этот случай с CUPS наглядно показывает, как важна регулярная проверка сетевых устройств на уязвимости. В наше время даже незначительные на первый взгляд ошибки могут стать инструментом для масштабных атак, угрожающих целостности всей системы.